Académique Documents
Professionnel Documents
Culture Documents
TRABAJO DE GRADO
TRABAJO DE GRADO
Asesor
Giovanny Andrs Piedrahita Solorzano
Coordinador Investigacin y Posgrados DIST-FICB
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
Ciudad, Fecha
TABLA DE CONTENIDO
INTRODUCCION .................................................................................................. 11
1. RESUMEN EJECUTIVO ................................................................................ 13
1.1. DESCRIPCIN GENERAL ...................................................................... 13
1.1.1. ESTADO DE LA SEGURIAD DE LA INFORMACION EN IGM S.A ...... 13
1.1.2. IDENTIFICACION DEL PROBLEMA .................................................... 15
1.1.3. DIAGNOSTICO SITUACION PROBLEMA............................................ 16
1.1.4. INDICADORES DEL PROBLEMA ........................................................ 18
1.1.5. PLANTEAMIENTO DEL PROBLEMA ................................................... 19
1.1.6. FORMULACION DEL PROBLEMA ....................................................... 21
1.2. OBJETIVOS ............................................................................................. 21
1.2.1. OBJETIVO GENERAL .......................................................................... 21
1.2.2. OBJETIVO ESPECIFICOS ................................................................... 21
1.3. ALCANCE Y LIMITACIONES ................................................................... 22
1.3.1. ALCANCE ............................................................................................. 22
1.3.2. LIMITACIONES..................................................................................... 22
1.4. RESULTADOS ESPERADOS DEL TRABAJO ........................................ 23
1.4.1. ENTREGABLES DEL TRABAJO .......................................................... 23
1.4.2. IMPACTO DEL PROYECTO................................................................. 23
2. JUSTIFICACION ............................................................................................ 25
3. MARCO DE REFERENCIA ............................................................................ 29
3.1. MARCO TEORICO................................................................................... 29
3.1.1. SEGURIDAD DE LA INFORMACION ................................................... 30
3.1.2. GESTION DE SEGURIDAD DE LA INFORMACION ............................ 31
3.1.3. SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION ..... 32
3.1.4. NORMAS ISO/IEC 27000 ..................................................................... 33
3.1.5. CICLO DE MEJORA CONTINA VS NORMA ISO/IEC 27001:2013 ... 36
3.2. MARCO CONCEPTUAL (GLOSARIO DE TERMINOS) ........................... 39
4. METODOLOGIA ............................................................................................ 42
4.1. TIPO DE INVESTIGACION ...................................................................... 42
4.2. LINEA DE INVESTIGACION .................................................................... 43
4.3. INSTRUMENTOS DE RECOLECCION DE INFORMACION ................... 43
4.4. FASES METODOLOGICAS ..................................................................... 43
5. DISEO DEL SISTEMA DE GESTION DE SEGURIDAD DE LA
INFORMACION ..................................................................................................... 47
5.1. FASE I. DIAGNOSTICO ........................................................................... 47
5.1.1. DIAGNOSTICO ESTADO ACTUAL DE LA SEGURIDAD..................... 47
5.1.2. IDENTIFICACION ESTRATIFICACION DE LA ENTIDAD .................... 48
5.1.3. NIVEL DE CUMPLIMIENTO ANEXO A - ISO 27001:2013 ................... 51
5.2. FASE II. PREPARACION ......................................................................... 62
5.2.1. CONTEXTO DE LA ORGANIZACION .................................................. 62
5.2.1.1. CONOCIMIENTO DE LA ORGANIZACIN....................................... 62
5.2.1.2. NORMATIVIDAD DE SEGURIDAD APLICABLE A LA ENTIDAD ..... 69
5.2.1.3. PARTES INTERESAS DE LA ENTIDAD ........................................... 70
5.2.2. ALCANCE DEL SGSI ........................................................................... 74
5.2.3. POLITICA DEL SGSI ............................................................................ 74
5.2.4. OBJETIVO DEL SGSI ........................................................................... 75
5.2.5. ESTRUCTURA ORGANIZACIONAL DE LA SEGURIDAD ................... 76
5.3. FASE III. PLANIFICACION ...................................................................... 80
5.3.1. CLASIFICACION DE ACTIVOS DE TECNOLOGIA ............................. 81
5.3.2. VALORACION RIESGOS ACTIVOS DE TECNOLOGIA ...................... 90
5.3.2.1. IDENTIFICACION DE AMENZAS...................................................... 90
5.3.2.2. ANALISIS DEL RIESGO INGERENTE .............................................. 95
5.3.2.3. MAPA DE CALOR ........................................................................... 101
5.3.2.4. MAPA DE RIESGO INHERENTE .................................................... 102
5.3.2.5. VALORACION DE CONTROLES .................................................... 103
5.3.2.6. DETERMINAR DESPLAZAMIENTO MAPA DE CALOR ................. 106
5.3.2.7. DETERMINACION RIESGO RESIDUAL ......................................... 109
5.3.2.8. MAPA DE RIESGO RESIDUAL ....................................................... 109
5.3.2.9. COMPARATIVA MAPAS DE CALOR ............................................. 111
5.3.3. PLANES DE TRATAMIENTO DE RIESGO ........................................ 113
5.3.4. POLITICAS DE SEGURIDAD DE LA INFORMACION ....................... 118
5.3.5. INCIDENTES DE SEGURIDAD .......................................................... 119
5.3.5.1. FASES GESTION DE INCIDENTES DE SEGURIDAD ................... 120
5.3.5.2. CATEGORIZACION INCIDENTES DE SEGURIDAD ...................... 121
5.3.5.3. PROCEDIMIENTO REPORTE Y ATENCION DE INCIDENTES ..... 123
6. RESULTADOS Y DISCUSIONES ................................................................ 124
6.1. RESULTADOS FASE I DIAGNOSTICO.............................................. 124
6.2. RESULTADOS FASE II PREPARACION............................................ 136
6.3. RESULTADOS FASE III PLANIFICACION ......................................... 142
7. CONCLUCIONES ........................................................................................ 166
8. RECOMENDACIONES ................................................................................ 169
BIBLIOGRAFIA ................................................................................................... 170
ANEXOS ............................................................................................................. 173
ANEXO A. ENCUESTAS ESTRATIFICACION DE ENTIDADES .................. 173
ANEXO B. EVALUACION CONTROLES ANEXO A ISO 27001-2013. .......... 173
ANEXO C. ALCANCE POLITICAS Y OBJETIVO DEL SGSI.......................... 173
ANEXO D. METODOLOGIA DE GESTION DE RIESGOS ............................. 173
ANEXO E. CLASIFICACION ACTIVOS Y VALORACION DE RIESGOS ....... 173
ANEXO F. MANUAL DE POLITICA SEGURIDAD DE LA INFORMACION .... 173
ANEXO G. PROCEDIMIENTO REPORTE Y ATENCION INCIDENTES DE
SEGURIDAD ................................................................................................... 173
LISTA DE TABLAS
Hoy en da, la informacin est definida como uno de los activos ms valiosos y
primordiales para cualquier tipo de organizacin, la cual, slo tiene sentido cuando
est disponible y es utilizada de forma adecuada, integra, oportuna, responsable y
segura, lo que implica, que es necesario que las organizaciones tengan una
adecuada gestin de sus recursos y activos de informacin con el objetivo de
asegurar y controlar el debido acceso, tratamiento y uso de la informacin.
En la medida que las organizaciones tenga una visin general de los riesgos que
pueden afectar la seguridad de la informacin, podrn establecer controles y
medidas efectivas, viables y transversales con el propsito de salvaguardar la
integridad, disponibilidad y confidencialidad tanto de la informacin del negocio
como los datos de carcter personal de sus empleados y usuarios. Es
indispensable que las organizaciones realicen una adecuada identificacin,
11
clasificacin, valoracin, gestin y tratamiento de los riegos que pueden afectar su
seguridad, con el propsito de implementar salvaguardas efectivas que les
permitan estar preparados ante situaciones adversas que puedan comprometer
tanto la seguridad fsica y lgica de sus instalaciones, personas, recursos y
sistemas, como la seguridad de su informacin.
12
1. RESUMEN EJECUTIVO
IGM S.A, es una sociedad annima, de economa mixta del orden nacional,
constituida con la participacin exclusiva de entidades pblicas, con personera
jurdica, autonoma administrativa y capital independiente, organizada como un
establecimiento de crdito, vinculada al Ministerio de Hacienda y Crdito Pblico y
sometida a vigilancia por la Superintendencia Financiera de Colombia.
La entidad por ser de carcter pblico y financiero, este vigilada y controlada por la
Superintendencia Financiera de Colombia y otros entes de control, por lo tanto,
debe cumplir la normatividad vigente relacionada con seguridad de la informacin
impartida por estos organismos aplicable a entidades del estado y financieras.
1
Auditora interna realizadas por la Jefatura de Control Interno de la Entidad.
13
la seguridad de la infraestructura tecnolgica y con ello poder identificar su nivel
de exposicin ante posibles ataque externo, para lo cual, realiz pruebas de
vulnerabilidades de tipo no intrusivas a una serie de servicios de TI. Resultado de
esta prueba, la auditoria encontr que el nivel de exposicin de la plataforma
tecnolgica de la entidad ante ataques informticos era alto y recomend entre
otras aspectos, la implementacin de una serie de medidas y controles de
seguridad con el objetivo de cerrar las brechas encontradas y la necesidad de que
la entidad cuente con un modelo de seguridad de la informacin.
La Entidad cuenta con la Direccin de Tecnologa que tiene por objetivo proveer y
administrar los recursos tecnolgicos, la cual es considerada como una de las
reas fundamentes para garantizar la integridad, confidencialidad y disponibilidad
de la informacin de la entidad. La Direccin de Tecnologa desarrolla actividades
propias de seguridad informtica, pero en muchos casos tambin funciones
relacionadas con seguridad de la informacin, lo cual genera un riesgo debido a la
falta de segregacin de funciones asociadas con seguridad de la informacin.
2
http://www.iso27000.es/sgsi.html
15
La Entidad requiere asegurar sus activos de informacin con el propsito de
proteger su exactitud y totalidad con el fin de que los mismos solo sean accesibles
por aquellas personas que estn debidamente autorizadas. La entidad no cuenta
con una metodologa para la identificacin y clasificacin de sus activos de
informacin y para la valoracin y tratamiento de riesgos de seguridad de la
informacin, lo que implica, que no cuenta con una visin global del estado de su
seguridad.
La falta de concienciacin,
No existe una valoracin de apropiacin y conocimiento en
riesgos de seguridad de TODOS temas de seguridad por parte de
los activos de informacin todos los funcionarios
Problema:
"Inadecuado Modelo
de Gestin de
La poltica de seguridad existente Seguridad de la Falta de un adecuado Gobierno de
no est alineada con los objetivos Informacin" Seguridad en la Entidad.
del negocio
16
A continuacin se describen los diferentes factores que se presentan en la entidad
y que estn asociados a cada una de las situaciones que generan el problema:
Situacin Factores
Falta de un Gobierno No existe una directriz a nivel gerencial sobre seguridad de
de Seguridad en la la informacin.
Entidad No existe una participacin activa de la alta directiva
No existe una cultura Falta de concienciacin, apropiacin y conocimiento en
de seguridad de la temas de seguridad por parte de todos los funcionarios de
informacin en la la Entidad.
Entidad. No existe una cultura de mejora continua de seguridad de
la informacin.
Falta de inters por parte de los funcionarios en temas de
seguridad.
No existe una participacin actividad de toda la
organizacin con relacin a la definicin de procedimientos
adecuados y a la planeacin e identificacin de controles
de seguridad basados en una evaluacin de riesgos
Los funcionarios no distinguen la diferencia entre seguridad
informtica y seguridad de la informacin.
No existe Sistema de La entidad no cuenta con un sistema de informacin
Informacin adecuado para la gestin de riesgos de seguridad.
adecuado para la No existe una valoracin de riesgos de seguridad de
gestin de riesgos de TODOS los activos de informacin.
seguridad. La entidad no cuenta con una visin global del estado de su
seguridad, y por lo tanto no puede determinar con exactitud
la efectividad de las medidas que sobre seguridad
implemente.
Dificultad para el control y clasificacin de los activos de
informacin.
Inadecuada identificacin de riesgos y controles de
seguridad.
La poltica de La poltica de seguridad existente no est alineada con las
seguridad existente estrategias y objetivos del negocio.
no est alineada con Las polticas de seguridad son definidas por la Direccin de
los objetivos del Tecnologa.
negocio Se requiere segregar las funciones de seguridad
informtica y seguridad de la informacin.
17
1.1.4. INDICADORES DEL PROBLEMA
Los siguientes son los indicadores que se establecieron con el objetivo de poder
identificar el estado actual de la situacin problema:
18
Tambin se indica en la encuesta que el 63% de las organizaciones a nivel global
depositan la responsabilidad de la seguridad de la informacin en la funcin de TI,
lo que puede impedir que haya una evaluacin, medicin y alineacin eficaz con
las prioridades del negocio.
3
XV Encuesta Global de Seguridad de la Informacin de Ernst & Young, Pg. 13
19
La existencia de un sistema de seguridad de la informacin en las organizaciones
genera sentido de pertenencia y apropiacin en temas de seguridad en las
personas, de tal forma, que se logra la participacin activa de toda la organizacin
en la planeacin, definicin, identificacin e implementacin de medidas
orientadas a salvaguardar la seguridad de la informacin de la organizacin.
1.2. OBJETIVOS
21
OE7. Definir la metodologa para la identificacin y clasificacin de activos de
informacin y para la valoracin y tratamiento de riesgos de Seguridad de la
Informacin.
OE8. Clasificar los activos de informacin del proceso de Gestin de Tecnologa
de la entidad, valorar sus riesgos de seguridad y definir los planes de
tratamiento de los riegos encontrados, de acuerdo a la metodologa
definida.
OE9. Definir las polticas de la Seguridad de la Informacin de la entidad tomando
como base la norma ISO 27001:2013.
OE10. Definir un mecanismo para la gestin de incidentes de seguridad.
1.3.1. ALCANCE
Para el desarrollo del proyecto se utilizar como gua principal la norma NTC-ISO-
IEC 27001 versin 2013, que corresponde a un estndar referente a nivel mundial
que especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestin de Seguridad de la Informacin4.
1.3.2. LIMITACIONES
El proyecto consistir solo en el anlisis y diseo del Sistema de Gestin de
Seguridad de la Informacin para la empresa IGM S.A, basado en la norma NTC-
ISO-IEC 27001:2013, pero no abarca las fases de implementacin, revisin y
mantenimiento y mejora del Sistema de Gestin de Seguridad de la Informacin.
4
Wikipedia, ISO/IEC 27001, http://es.wikipedia.org/wiki/ISO/IEC_27001
22
1.4. RESULTADOS ESPERADOS DEL TRABAJO
23
Los objetivos planteados en este proyecto, estn orientados a poder disear un
adecuado Sistema de Gestin de Seguridad de la Informacin para la entidad, con
el propsito de poder generar los siguientes beneficios:
24
2. JUSTIFICACION
5
PWC, Resultados de la Encuesta Global de Seguridad de la Informacin, Pag, 4
25
disponibilidad de la informacin, lo cual, ayuda a forjar, fomentar y extender en
toda la organizacin una cultura apropiada de seguridad de la informacin.
26
Promover que los riesgos de la seguridad de la informacin sean conocidos,
asumidos, gestionados por la organizacin, as como, que los problemas de
seguridad se comuniquen de manera proactiva y oportuna.
Promover la cultura de mejora continua del sistema de gestin de seguridad de
la informacin, contribuyendo a su mejor administracin, desempeo, eficacia y
cumplimiento.
Promover una buena cultura de seguridad al interior de la organizacin y una
conciencia clara de cul es la informacin que se debe proteger, evita con esto,
inversiones innecesarias en seguridad y tecnologa.
28
3. MARCO DE REFERENCIA
Para efectos de tener claro los diferentes conceptos que se enuncian en este
marco terico, en el captulo 3.2. MARCO CONCEPTUAL (GLOSARIO DE
TERMINOS) se encuentran el glosario de los trminos con sus respectivas
definiciones, los cuales son utilizados a lo largo del presente trabajo de grado.
29
3.1.1. SEGURIDAD DE LA INFORMACION
La Seguridad de la Informacin, de acuerdo a la norma ISO 27000:2014 6, se
define como la preservacin de la confidencialidad, integridad y disponibilidad de
la informacin.
6
ISO/IEC 27000:2014, Tercera Edicin, Pg. 4
7
http://www.aec.es/web/guest/centro-conocimiento/seguridad-de-la-informacion
30
La integridad, asegurando que la informacin no sea modificada sin la debida
autorizacin.
La autenticidad, con el propsito de garantizar la identidad de la persona que
genera la informacin. La autenticidad de la informacin, es la capacidad de
asegurar que el emisor de la informacin es quien dice ser y no un tercero que
est intentando suplantarlo.
El no repudio, con el propsito de conocer exactamente quienes son los
actores que participan en una transaccin o una comunicacin y no puedan
negarlo en ningn momento. El no repudio evita que el emisor o el receptor
nieguen la transmisin de un mensaje8.
La trazabilidad, con el objetivo de poder monitorear o rastrear cualquier
operacin que se realiza sobre la informacin desde su mismo origen.
8
Wikipedia, Seguridad de la informacin
9
http://www.iso27000.es/sgsi.html
31
legales, sensibilidad y criticidad, con el propsito de identificar los riesgos que
pueden afectar su seguridad y determinar las medidas de prevencin, deteccin,
retardo y reaccin que se requieran implementar para controlar el acceder no
autorizado a las instalaciones, recursos, sistemas e informacin de la
organizacin, o cualquier amenaza proveniente del entorno, la naturaleza y las
acciones del hombre que pueda llegar a comprometer el normal funcionamiento y
operacin del negocio.
Con el objetivo de garantizar que las organizaciones realizan una correcta gestin
de la seguridad de la informacin, es necesario contar con un proceso sistemtico,
documento, conocido y adoptado por toda la organizacin, basado en un enfoque
de gestin de riesgos. Este proceso, es el que constituye un Sistema de Gestin
de Seguridad de la Informacin.
10
NTC-ISO-IEC 27001:2013, Capitulo Introduccin
32
Un Sistema de Gestin de la Seguridad de la Informacin le permite a las
organizaciones tener una visin general del estado de proteccin y vulnerabilidad
de sus activos de informacin y de la efectividad de las medidas de seguridad que
se implementen, insumos que son fundamentales para apoyar la toma de
decisiones por parte de la alta directiva con relaciones a las estrategias a seguir.
Las siguientes son algunas de las normas que componen la familia ISO/IEC
27000, las cuales sern el marco terico que se tendr en cuenta para efectos del
presente trabajo:
ISO/IEC 27000. Esta norma proporciona una visin general de los sistemas de
gestin de seguridad de la informacin y contiene los trminos y definiciones
que se utilizan en las diferentes normas de la 27000.
ISO/IEC 27001. La ltima versin de esta norma fue publicada a finales del
2013, y corresponde a la principal norma de la serie 27000 debido a que
contiene los diferentes requisitos para establecer, implementar, mantener y
33
mejorar continuamente un Sistema de Gestin de Seguridad de la Informacin
en las organizaciones independiente de su tipo, tamao o naturaleza. Esta
norma tambin incluye los requisitos para la valoracin y el tratamiento de
riesgos de seguridad de la informacin, adoptadas a las necesidades de la
organizacin11.
11
NTC-ISO-IEC 27001:2013, Pg. 1
12
Nuevo esquema definido por International Organization for Standardization - ISO para todos los
Sistemas de Gestin acorde al nuevo formato llamado Anexo SL, que proporciona una estructura
uniforme como el marco de un sistema de gestin genrico.
34
El Anexo A de la norma ISO 27001, contiene los diferentes objetivos de control
y controles que las organizaciones deberan tener en cuenta para la
planeacin e implementacin de su Sistema de Gestin de Seguridad de la
Informacin, los cuales se describen con ms detalle en la norma ISO 27002.
13
http://www.iso27000.es/iso27000.html
35
3.1.5. CICLO DE MEJORA CONTINA VS NORMA ISO/IEC 27001:2013
El ciclo de mejora continua, tambin conocido como ciclo PDCA (del ingls plan-
do-check-act) o PHVA (planificar-hacer-verificar-actuar) o Ciclo de Deming por
ser Edwards Deming su creador, es uno de los sistemas ms usados para la
implementacin de un sistema de mejora continua, el cual establece los siguientes
cuatro pasos o fases esenciales que de forma sistemtica las organizaciones
deben llevar a cabo para lograr la mejora continua de sus sistemas de gestin:
36
mayor flexibilidad en el momento de seleccionar o definir un modelo para la mejora
continua del Sistema de Gestin de Seguridad de la Informacin. Aunque en la
versin 2013, no se determina el modelo PHVA como requisito para estructurar los
procesos del Sistema de Gestin de Seguridad de la Informacin, la nueva
estructura de esta versin se puede alinear con el ciclo de mejora continua de las
modelos de gestin de la siguiente forma:
PLANEAR
4. CONTEXTO DE LA ORGANIZACION
5. LIDERAZGO
6. PLANIFICACION
7. SOPORTE
ACTUAR HACER
10. MEJORA 8. OPERACION
VERIFICAR
9. EVALUACION DEL
DESEMPENO
El siguiente cuadro muestra la relacin entre las fases del ciclo de mejora continua
PHVA (planear, hacer, verificar y actuar) y la estructura de captulos y numerales
de la norma ISO 27001:2013:
37
Fase PLANEAR en la norma ISO 27001:2013
14
NTC-ISO-IEC 27001:2013, Pg. 1-2
15
Ibdem, Pg. 2-3
16
Ibdem, Pg. 4-6
17
Ibdem, Pg. 6
18
Ibdem, Pg. 8-9
19
Ibdem, Pg. 9-11
38
peridicamente el desempeo de la seguridad de la informacin y eficacia del
sistema de gestin de seguridad de la informacin.
20
NTC-ISO-IEC 27001:2013, Pg. 11-12
39
Controles: Son aquellos mecanismos utilizados para monitorear y controlar
acciones que son consideradas sospechosas y que pueden afectar de alguna
manera los activos de informacin.
40
SARLAFT: Siglas del Sistema de Administracin del Riesgo de Lavado de Activos
y Financiacin del Terrorismo.
41
4. METODOLOGIA
21
Manual de Tesis de Grado y Especializacin y Maestra y Tesis Doctorales de la Universidad
Pedaggica Libertador, Pg.13.
42
efectos22. En este tipo de investigacin, la informacin de inters es recogida de
forma directa de la fuente, mediante encuestas, cuestionario, entrevista o
reuniones.
Cuestionario.
Observaciones.
Entrevistas con funcionarios y sobre todo con el personal de la Direccin
de Tecnologa de la Entidad.
Documentacin existente en el sistema de gestin calidad de la entidad.
Evaluacin con base en la experiencia del autor.
22
Manual de Tesis de Grado y Especializacin y Maestra y Tesis Doctorales de la Universidad
Pedaggica Libertador, Pg.11
43
Diagnostico del SGSI Preparacin del SGSI Planificacin del SGSI
Para llevar a cabo las fases propuestas para el diseo del Sistema de Gestin de
Seguridad de la Entidad, las siguientes son las actividades a realizar:
Realizar la valoracin de
Definir el alcance del SGSI riesgos de seguridad de la
informacin
Elaborar procedimiento
para la gestin de
incidentes de seguridad.
44
Fase I - Diagnostico.
Fase II - Preparacin
23
NTC-ISO-IEC 27001:2013, Pg. 1
24
Ibdem, Pg. 2
45
Esta fase contempla las actividades relacionadas con:
46
5. DISEO DEL SISTEMA DE GESTION DE SEGURIDAD DE LA
INFORMACION
25
Anexo 3: Estratificacin de Entidades - Modelo seguridad de la informacin para la estrategia de Gobierno
en Lnea 2.0, Pg. 8.
26
Ibdem.
48
Tabla 6. Valoracin estratificacin de la entidad
PARAMETROS DE
OPCIONES DE RESPUESTA PUNTOS OBSERVACION
EVALUACION
Menos de 3,000 millones de pesos Para el 2014:
$146.362.311.000.
Presupuesto Entre 3.000 millones y 50.000 millones de pesos 3
Fuente: rea de
Ms de 50.000 millones de pesos Contabilidad.
Menos de 100 computadores
Nmero total de Dato suministrado por la
Entre 100 y 500 computadores 3
computadores direccin de tecnologa.
Ms de 500 computadores
Menos de 4 Servidores
Nmero de Dato suministrado por la
Entre 4 y 20 Servidores 3
Servidores direccin de tecnologa
Ms de 20 Servidores
Nmero Menos de 6 empleados
Dato suministrado por la
Empleados de Entre 6 y 50 empleados 2
direccin de tecnologa
Tecnologa Ms de 50 empleados
No hay rea de sistemas o tecnologa como tal
rea de tecnologa enfocada en la operacin del da
Existencia y a da, que cumple labores en su mayora
funcin del rea REACTIVAS Dato suministrado por la
Punto anterior ms rea de sistemas que planea y 3
de sistemas direccin de tecnologa
(tecnologa). desarrolla proyectos nuevos o de actualizacin,
administra su presupuesto y desarrolla labores
proactivas a travs de comits y participacin en
decisiones corporativas
WAN pblica (p.ej. Internet) slo para usar correo y
navegar. Incluye servidores de correo y Web en
hosting.
Existencia y WAN pblica (p.ej. Internet) con servicios ofrecidos Dato suministrado por la
3
objeto de la WAN. al ciudadano. Puede o no haber desarrollos direccin de tecnologa
sofisticados de transaccionalidad.
Lo anterior ms la existencia de una WAN privada
(no incluye VPN a travs de Internet)
Solo ofrece servicios de consulta (pginas WEB
estticas y correo electrnico) Dato suministrado por la
Transaccionalidad local. Generacin de servicios y direccin de tecnologa.
Transaccionalida
seguimiento de trmites, solo con base en datos y 3 Aplicacin web para el
d en la WEB.
aplicativos propios. pago de crditos por
Lo anterior ms interaccin con aplicativos, datos y PSE
servicios de otras entidades y/o terceros
No desarrolla software. Incluye aquellas entidades
que tienen en hosting una pgina WEB bsica e
informativa y un servidor de correo.
Desarrollo de S desarrolla software pero solo para aplicativos Dato suministrado por la
2
Software. internos. Hay que aclarar que este desarrollo puede direccin de tecnologa.
ser interno o en outsourcing (realizado por terceros).
S desarrolla software para aplicativos externos. S
publica informacin transaccional.
TOTAL PUNTOS 22
49
El puntaje total de la estratificacin se determina por la suma de los puntajes
independientes obtenidos de cada una de las respuestas, que para el caso de la
entidad es igual a 22 puntos.
27
Anexo 3: Estratificacin de Entidades - Modelo seguridad de la informacin para la estrategia de Gobierno
en Lnea 2.0, Pg. 12.
28
Norma ISO/IEC 27001:2013, Pg. 2
50
de la seguridad de la informacin29 y 6.1.3 Tratamiento de riesgos de la
seguridad de la informacin30 de la norma ISO/IEC 27001:2013.
El nmero de empleados de la area de tecnologa, refleja el tamao de la
entidad y los recursos que implica atender los requerimientos de los usuarios y
la prestacin de los servicios de tecnologa. A pesar de que el rea de
tecnolgica cuenta con estos recursos humanos, los mismos pueden no ser
suficientes para la implementacin de las medidas y controles que se
establezcan productos de los diagnsticos y valoracin de riesgos de
seguridad que se realicen. Por lo tanto, este un factor que puede implicar un
mayor esfuerzo para la implementacin de su Sistema de Gestin de
Seguridad de la Informacin.
El rea de tecnologa de la entidad, adems de administrar y proveer los
recursos tecnolgicos, planea y desarrolla proyecto, factor fundamente en caso
de requerir la implementacin planes de accin y/o medidas de seguridad que
impliquen el establecimiento de un proyecto para su ejecucin.
29
Norma ISO/IEC 27001:2013, Pg. 4
30
Ibdem, Pg. 5
51
El formato utilizado para realizar este diagnstico corresponde al ANEXO B del
presente documento, el cual, contiene las preguntas que se plantearon para
evaluar cada uno de los controles y las respectivas respuestas dadas por los
usuarios. Con base en la informacin recopilada, los siguientes son los resultados
del anlisis realizado:
31
Modelo de Seguridad de la Informacin, SISTEMA SANSI - SGSI Modelo de Seguridad de la
informacin para la estrategia de gobierno en lnea, Pg., 47.
53
de este anexo y en un nivel de riesgo MEDIO con relacin al nivel de proteccin y
efectividad de los controles implementados.
54
Tabla 9. Objetivos de control con nivel BAJO de cumplimiento
Por lo tanto, es necesario que la entidad implemente cuanto antes los debidos
mecanismos de cifrado con el objetivo de asegurar la confidencialidad,
autenticidad e integridad de la informacin, tales como: cifrado de correos,
portal de intercambio seguro y cifrado del almacenamiento de dispositivos
movibles y porttiles.
32
Norma ISO/IEC 27001:2013, Pg. 17
55
La entidad no tiene definidos todos los roles y responsabilidades de la
seguridad de la informacin, la cual es una de las responsabilidades que debe
garantizar la Alta Direccin y que es esencial para forjar un adecuado Sistema
de Gestin de Seguridad de la Informacin.
33
Norma ISO/IEC 27001:2013, Pg. 24
34
Ibdem
56
de unas polticas de seguridad aprobadas por la Alta Direccin para garantizar
su debida implementacin, actualizacin y cumplimiento.
35
Norma ISO/IEC 27001:2013, Pg. 21
57
presenten incidentes o problemas cuando se realizando cambios de las
aplicaciones en el ambiente de produccin.
- No existe un proceso controlar para el manejo de datos en los ambientes de
produccin, lo que genera un riesgo alto debido a que no se garantiza la
debida proteccin y privacidad de los datos sensibles de la entidad.
- Durante el desarrollo de las aplicaciones no se incluyen pruebas de
seguridad, lo que puede generar debilidades o vulnerabilidad en los
ambientes productivos que pueden ser aprovechas por amenazas para
atentar contra la disponibilidad, integridad y confidencialidad de los activos
de informacin de la entidad.
Por otra parte, no todos los contratos que se suscriben con terceros tienen
acuerdo de confidencialidad de la informacin, lo que representa un riesgo en
la medida que dichos terceros tengan acceso informacin confidencial y/o
sensible de la Entidad.
59
- No se cuenta con un procedimiento para la gestin de contraseas en los
sistemas base de la entidad.
- No se audita los derechos de acceso de manera regular.
- Los usuarios administradores y propietarios de los activos de informacin
no revisan los derechos de acceso de los usuarios de manera regular.
60
- Garantizar la debida separacin de los servicios de informacin, usuarios y
sistemas de informacin en la red, de acuerdo al control A.13.1.3 del Anexo
A de la ISO/IEC 27001:201336.
- Garantizar la debida proteccin de la informacin incluida en la mensajera
electrnica, de acuerdo al control A.13.2.3 del Anexo A de la norma
ISO/IEC 27001:201337.
- Establecer y revisar peridicamente que los requerimientos que se
establecen para los acuerdos de confidencialidad reflejen las necesidades
de la entidad para la proteccin de la informacin, de acuerdo al control
A.13.2.4 del Anexo A de la ISO/IEC 27001:201338.
36
NORMA ISO/IEC 27001:2013, pg. 20
37
Ibdem
38
Ibdem
39
Ibdem, pg. 16
40
Ibdem, pg. 18
41
Ibdem
61
A.12 Seguridad de las operaciones (92%)
NATURALEZA DE LA ENTIDAD.
IGM S.A, es una sociedad annima, de economa mixta del orden nacional,
constituida con la participacin exclusiva de entidades pblicas, con personera
42
Norma ISO/IEC 27001:2013, pg. 19
62
jurdica, autonoma administrativa y capital independiente, organizada como un
establecimiento de crdito y vinculada al Ministerio de Hacienda y Crdito Pblico.
MISION DE LA ENTIDAD
Apoyamos el desarrollo sostenible del Pas, generando bienestar en las
regiones44.
VISION DE LA ENTIDAD
Ser la Banca del Desarrollo para la infraestructura sostenible del Pas45.
IGM S.A est calificada como Emisor AAA (Triple A) en el largo plazo y F1+ en el
corto plazo por la Agencia Calificadora de Riesgos Fitch Ratings Colombia S.A.,
calificacin que la Financiera ha mantenido por once (11) aos consecutivos47.
43
Son los que pueden realizar operaciones de redescuento con la Entidad
44
Fuente: Pagina web de la entidad
45
Ibdem
46
Ibdem
47
Ibdem
63
ESTRUCTURA ORGANIZACIONAL
MAPA DE PROCESOS
64
Figura 9. Mapa de proceso de la Entidad
Fuente: La Entidad
48
Caracterizacin Proceso de Gestin de Riesgos, Sistema de Gestin IGM S.A
49
Sistema de Administracin de Riesgo Crediticio
50
Sistema de Administracin de Riesgos Operativos
51
Sistema de Administracin de Riesgo de Liquidez
52
Sistema de Administracin del Riesgo de Lavado de Activos y Financiacin del Terrorismo
65
de la gestin de riesgos de la entidad, seguridad de la informacin y el plan de
Continuidad del Negocio de la entidad.
66
MESA DE DINERO. La entidad por medio de la Mesa de Dinero obtiene
recursos del pblico a travs de emisin de ttulos valores que estn inscritos
ante la Superintendencia Financiera de Colombia, en el Registro Nacional de
Valores y Emisores. Estos recursos, son uno de los ms importantes y
representativos dentro del fondeo de la entidad. Por la naturaleza del negocio
de la entidad, la informacin que se maneja en la Mesa de Dinero es de
carcter confidencial y privilegiado, ya que con ella los funcionarios que
analizan el mercado de valores y determinan las condiciones oportunas para
realizar negociaciones de interbancarios. Las condiciones de acceso a esta
rea, estn dadas en el Reglamento AMV del Autorregulador del Mercado de
Valores de Colombia [8], en el cual, entre otras normas, se establece los
lineamientos y restricciones para el ingreso de elementos, dispositivos, equipos
informticos y de las personas a las Mesas de Dinero de las entidades
financieras afiliadas a la AMV.53
53
Reglamento AMV, artculos 46.3 y 46.4
54
DECEVAL, REGLAMENTO DEL SISTEMA DE REGISTRO DE DECEVAL
67
- Sistema de Depsito Central de Valores del Banco de la Repblica,
permite el depsito, custodia y administracin de ttulos valores
desmaterializados, que tiene por objetivo primordial eliminar el riesgo que
representa el manejo de ttulos fsicos, facilitar las transacciones en el
mercado secundario y realizar de forma segura, gil y oportuna el cobro de
capital o de rendimientos financieros55.
- Sistema SEBRA, permite el acceso seguro a los servicios electrnicos para
realizar las transacciones y las comunicaciones entre el Banco de la
Repblica y la entidad, de una manera gil, eficiente y segura56.
55
http://www.banrep.gov.co/es/contenidos/page/qui-nes-pueden-acceder-dcv
56
http://www.banrep.gov.co/es/sebra-objetivo
68
evitar, prevenir o mitigar las amenazas informticas que puede atentar contra
la disponibilidad, integridad y confidencialidad de la informacin de la entidad.
57
Superintendencia Financiera de Colombia, Circular externa 052 de 2007.
69
deben gestionar la seguridad de la informacin para lo cual pueden tomar
como el estndar de las normas ISO 2700158.
Circular 038 de 2009 [10], por medio de la cual la Superintendencia Financiera
de Colombia determina que las entidades vigiladas deben contar con sistemas
que garanticen que la informacin cumpla con los criterios de seguridad
relacionados con la confidencialidad, integridad y disponibilidad59.
Ley estatutaria 1266 de 2008 Habeas Data [11], que regula el manejo de la
informacin de las personas recopiladas y almacenadas en bases de datos de
terceros, en especial la informacin de carcter financiero, crediticio, comercial,
de servicios y la proveniente de terceros pases .
Ley 1581 de 201260 [12] que fue regulada en el Derecho 1377 de 201361 [13],
que definen el marco jurdico orientado a garantizar que la debida, recoleccin,
almacenamiento, tratamiento, uso y distribucin de los datos personales de los
titulares por parte de terceros.
Reglamento AMV del Autorregulador del Mercado de Valores de Colombia,
que definir los lineamientos de seguridad para las Mesas de Dinero de las
entidades afiliados a la AMV.
Modelo de seguridad y privacidad de la informacin [14], por medio del
cual el Ministerio de Tecnologas de la Informacin y las Comunicaciones
establece los lineamientos que deben seguir las entidades del estado para la
implementacin de la gestin de seguridad y privacidad de la informacin con
el objetivo de dar cumplimiento a la Estrategia de Gobierno en Lnea.
58
Ibdem, numeral 3.1.2
59
Superintendencia Financiera de Colombia, Circular externa 038 de 2009, numeral 7.5.4.1.
60
Ley estatutaria 1581 del 17 de octubre de 2012 Por el cual se dictan disposiciones generales
para la proteccin de los datos personales.
61
Decreto 1377 de 2013, por el cual se reglamenta parcialmente la Ley 1581 de 2012.
70
Las siguientes son las partes interesadas de la entidad en funcin a la seguridad
de informacin:
71
Tabla 13. Partes de inters internas en funcin del SGSI
72
Tabla 14. Actores relevantes en funcin a la seguridad de la informacin
Gobernabilidad
Motivacin
Inters
Actores Funcin con relacin a la seguridad de la
Relevantes informacin
73
5.2.2. ALCANCE DEL SGSI
El alcance permite determinar los lmites y la aplicabilidad del sistema de gestin
de la seguridad de la informacin de la entidad62.
62
Norma ISO/IEC 27001:2013, Pg. 2
63
Norma ISO/IEC 27001:2013, Pg. 3
74
POLITICA DEL SGSI
75
OBJETIVOS DEL SGSI
Incrementar el nivel de satisfaccin de los clientes internos y externos de
IGM S.A.
Optimizar el nivel de eficacia de los controles de la Entidad.
Incrementar el nivel de competencias del talento humano.
Garantizar el acceso a la informacin de IGM S.A de acuerdo con los
niveles de la organizacin y criterios de seguridad que establezca la
Entidad, la normatividad aplicable y/o las partes interesadas.
Mantener la integridad de la informacin de la entidad, teniendo en cuenta
los requisitos de seguridad aplicables y los resultados de la valoracin y el
tratamiento de los riesgos identificados.
Asegurar que la informacin de IGM S.A est disponible para los usuarios
o procesos autorizados en el momento en que as lo requieran.
64
Norma ISO/IEC 27001:2013, Pag, 3
76
De acuerdo a lo anterior, se identifico el siguiente organigrama que permite
identificar las dependencias de la entidad cuyas funciones son pertinentes a la
seguridad de la informacin:
Comit de Riesgos
ALTA DIRECCIN
77
Promover activamente una cultura de seguridad de la informacin en la
entidad.
COMIT DE RIESGOS
OFICIAL DE SEGURIDAD
78
Asesorar en forma permanente y cercana a las distintas reas de la Institucin
en temas referentes a seguridad.
DIRECCION JURIDICA
80
5.3.1. CLASIFICACION DE ACTIVOS DE TECNOLOGIA
NOTA: El detalle de los activos del proceso de tecnologa de la entidad se
encuentra en el Anexo E del presente trabajo, el cual adems de esta informacin
contiene los parmetros, la formulacin y los clculos que se utilizaron para
determinar el nivel de criticidad de los activos de informacin.
81
Tabla 16. Inventario de activos de informacin de tecnologa
Nombre del
No Descripcin del Activo Tipo de activo Contenedor
Activo
Centro Principal de procesamiento
Centro Principal de Data Center del
A1 donde reside la infraestructura para Instalaciones
Procesamiento proveedor
soporta la operacin del negocio
Centro Alterno de procesamiento que
Centro Alterno de Data Center del
A2 contiene la infraestructura para la Instalaciones
Procesamiento proveedor
continuidad del negocio
Cuartos de Instalacin fsica donde residen los
A3 Instalaciones Cuartos de rack
comunicaciones rack de comunicaciones
Area Instalacin fsica donde estn
Area administracin
A4 administracin de ubicados los administradores de Instalaciones
de plataforma
plataforma plataforma
Redes de
A5 Red LAN Red LAN corporativa de la entidad Red LAN
comunicaciones
Redes de
A6 Red WAN Red WAN de la entidad RED WAN
comunicaciones
Red Wifi utilizada por los equipos
Red WIFI Redes de
A7 mviles para acceder a los recursos Red LAN
corporativa comunicaciones
de la red corporativa de la entidad
Redes de
A8 Red WIFI invitados Red Wifi para invitados Red LAN
comunicaciones
Servidores de Servidores que soportan los servicios Equipos Data Center del
A9
administracin bases de administracin informticos proveedor
Servidores de Servidores de produccin que
Equipos Data Center del
A10 bases de datos de soportan los motores e instancias de
informticos proveedor
produccin bases de datos
Servidores de Servidores de produccin que
Equipos Data Center del
A11 aplicaciones de soportan las aplicaciones y sistemas
informticos proveedor
produccin de informacin
Servidores que soportan la
Plataforma de Equipos Data Center del
A12 plataforma y servicio de correo
Correo informticos proveedor
corporativo
Servidores de Servidores que soportan los Equipos Data Center del
A13
Pruebas ambientes de prueba de la entidad informticos proveedor
Servidores de Servidores que soportan los Equipos Data Center del
A14
Desarrollo ambientes de desarrollo de la entidad informticos proveedor
Unidades de almacenamiento donde Equipos Data Center del
A15 SAN
reside la informacin de la entidad informticos proveedor
Solucin de Solucin de Backup para el respaldo Equipos Data Center del
A16
Backup de informacin del negocio informticos proveedor
Equipos y dispositivos de red activos Equipos
A17 Dispositivos de red Cuartos de rack
(switch, router) informticos
Computadores Computadores que utilizan los Equipos Area administracin
A18
Administradores administradores de plataforma informticos de plataforma
Computadores de escritorio
Computadores de Equipos
A19 asignados a los colaboradores de la Computadores
escritorio usuarios informticos
entidad
Computadores porttiles de la Equipos
A20 Porttiles Porttiles
entidad informticos
Impresoras de la entidad ubicada en Equipos
A21 Impresoras Impresoras
diferentes reas informticos
A22 Equipos de Equipos informticos destinados a Equipos Equipos de seguridad
82
seguridad proteger la seguridad perimetral de la informticos perimetral
perimetral entidad
Aplicacin utilizada por la mesa de
Aplicacin Mesa de Servidores de
A23 ayuda para la gestin de Software
Ayuda administracin
requerimientos e incidentes
Aplicaciones utiliza para monitorear
Sistema Monitoreo Servidores de
A24 el rendimiento y disponibilidad de los Software
de servicios administracin
servicios de TI
Sistema de Control Sistema para controlar el acceso a Servidores de
A25 Software
de Acceso las reas de la entidad administracin
Herramienta de Herramienta utilizada para la Servidores de
A26 Software
Virtualizacin virtualizacin de servidores administracin
Sistema Gestor Sistema de gestin y administracin Servidores de bases
A27 Software
Base de Datos de las bases de datos de la entidad de datos
Software de administracin de Servidores de
A28 Antivirus Software
seguridad para el control de virus administracin
Sistema
Servidores de
A29 administracin de Sistema para administrar la SAN Software
administracin
la SAN
Sistema de administracin para el
Sistema de control Servidores de
A30 control de versionamiento de Software
de versiones administracin
software
Sistema de
Sistema para la grabacin de las Servidores de
A31 Grabacin de Software
llamadas administracin
llamadas
Sistema integrado de gestin de la Servidores de
A32 ERP Software
entidad aplicaciones
Aplicativos CORE Corresponde a los aplicativos que Servidores de
A33 Software
del negocio soportan el CORE del negocio aplicaciones
Aplicativo de Aplicativo para la gestin de recursos Servidores de
A34 Software
nomina humanos aplicaciones
Sistema de
Sistema de Gestin documental de la Servidores de
A35 Gestin Software
entidad aplicaciones
Documental
Sistema de Aplicativo para el Sistema de Gestin Servidores de
A36 Software
Gestin de Calidad de Calidad aplicaciones
Aplicativo web para la consulta y
Aplicativo WEB Servidores de
A37 pago de las obligaciones de cartera Software
transaccional aplicaciones
de los ex empleados
Servidores de
A38 Pgina WEB Pgina Web de la Entidad Software
aplicaciones
Servidores de
A39 Intranet Pgina Web de la Entidad Software
aplicaciones
Aplicativos
Servidores de
A40 seguimiento Pgina Web de la Entidad Software
aplicaciones
proyectos
Aplicativo para gestin relacin con Servidores de
A41 CRM Software
clientes aplicaciones
Terminales Aplicativo para el pago de las
A42 Software Otros bancos
empresariales obligaciones con terceros
Servicio establecido donde estn los
objetos tales como usuarios, equipos
Servidores de
A43 Directorio activo o grupos, con el objetivo de Servicios
administracin
administrar los inicios de sesin en
los equipos conectados a la red
83
Correo electrnico corporativo de la
A44 Correo Electrnico Servicios Plataforma de Correo
entidad
Bases de datos que almacenan la Servidores de bases
A45 Bases de datos Servicios
informacin de la entidad de datos
Almacenamiento de los documentos
Servidores de
A46 FileServer electrnicos que manejan las reas Servicios
administracin
de la entidad
Corresponde al servicio de Servidores de
A47 Video Conferencia Servicios
videoconferencia de la entidad administracin
Corresponde al mecanismo para la
Gestin de administracin y asignacin de
A48 Servicios Directorio activo
privilegios privilegios de acceso a los recursos
tecnolgicos y aplicaciones.
Informacin que identifica a un
Identidad del funcionario (nombre, cedula, datos Datos /
A49 Directorio activo
Usuario biomtricos como la huella, cdigo Informacin
del usuario, etc)
Usuario y Contrasea que utiliza los
Datos de Datos /
A50 usuarios para ingresar a los recursos Directorio activo
autenticacin Informacin
tecnolgicos y aplicaciones.
Usuario genricos que utilizan las
Datos /
A51 Usuarios genricos aplicaciones para conectarse a las Bases de datos
Informacin
bases de datos
Log que contiene los registros de los
Log de evento de eventos de seguridad y de los Datos /
A52 Log de eventos
seguridad eventos de administracin sobre las Informacin
aplicaciones
Registro de Registro de incidentes de seguridad
Datos /
A53 incidentes de reportados por la herramienta de Bases de datos
Informacin
seguridad mesa de ayuda
Corresponde a los documentos,
Manuales tcnicos manuales y procedimientos Datos /
A54 File Server
de administracin relacionadas con la administracin de Informacin
la plataforma
Bitcora de control
Registro de acceso al centro de Datos /
A55 de acceso al centro Carpetas
computo Informacin
de computo
Plan estratgico de Documento que contiene el plan Datos /
A56 File Server
tecnologa estratgico de tecnologa Informacin
Corresponde a los documentos del
Documentos del Datos /
A57 proceso que estn publicados en el Bases de datos
proceso Informacin
sistemas de gestin de calidad
84
Tabla 17. Tabla para valoracin activos de informacin
Criterio de Valor a
Aspecto Criterio de valoracin
valoracin asignar
85
Tabla 18. Preguntas para determinar la criticidad del activo
Factor
Criterio Pregunta
Afectado
Si el activo o la informacin que se gestiona a travs de l no estn disponibles
Financiero
puede generar prdidas econmicas para la entidad?
Disponibilidad
Por ltimo, para determinar el nivel de criticidad del activo se valoro se utilizo los
criterios de valoracin de la siguiente tabla:
86
De acuerdo a la metodologa planteada que est relacionado en el Anexo D del
presente trabajo, la siguiente es la valoracin del nivel de criticidad de los activos
del rea de tecnolgica que se identificaron:
Confidencialidad
Disponibilidad
Valor Total
Nivel de
Integridad
No. Nombre del Activo
Financiero
Financiero
Financiero
criticidad
Imagen
Imagen
Imagen
Legal
Legal
Legal
A1 Centro Principal de Procesamiento 5 4 3 5 4 3 5 4 4 5 5 5 5 Alto
A2 Centro Alterno de Procesamiento 5 4 3 5 4 3 5 4 3 5 5 5 5 Alto
A3 Cuartos de comunicaciones 3 3 1 3 3 1 3 3 1 3 3 3 3 Medio
A4 Area administracin de plataforma 4 4 3 4 4 3 4 4 3 4 4 4 4 Alto
A5 Red LAN 4 4 3 4 4 3 2 1 1 4 4 2 4 Alto
A6 Red WAN 4 4 3 4 4 3 2 1 1 4 4 2 4 Alto
A7 Red WIFI corporativa 4 4 3 4 4 3 3 3 2 4 4 3 4 Alto
A8 Red WIFI invitados 3 2 1 3 2 1 3 3 1 3 3 3 3 Medio
A9 Servidores de administracin 4 3 2 4 3 2 4 3 2 4 4 4 4 Alto
Servidores de bases de datos de
A10 4 3 2 4 2 2 4 2 2 4 4 4 4 Alto
produccin
Servidores de aplicaciones de
A11 4 3 2 4 2 2 4 2 2 4 4 4 4 Alto
produccin
A12 Plataforma de Correo 3 3 3 3 3 3 3 3 3 3 3 3 3 Medio
A13 Servidores de Pruebas 1 1 0 0 0 0 0 0 0 1 0 0 1 Bajo
A14 Servidores de Desarrollo 1 1 0 0 0 0 0 0 0 1 0 0 1 Bajo
A15 SAN 4 4 3 4 4 3 4 4 3 4 4 4 4 Alto
A16 Solucin de Backup 3 3 2 3 3 2 3 2 2 3 3 3 3 Medio
A17 Dispositivos de red 4 4 3 4 4 3 3 3 2 4 4 3 4 Alto
A18 Computadores Administradores 4 4 3 5 4 3 5 4 3 4 5 5 5 Alto
A19 Computadores de escritorio usuarios 3 3 1 3 3 1 1 1 1 3 3 1 3 Medio
A20 Porttiles 3 3 1 3 3 1 1 1 1 3 3 1 3 Medio
A21 Impresoras 1 1 0 1 1 0 1 1 0 1 1 1 1 Bajo
A22 Equipos de seguridad perimetral 4 4 3 4 4 3 3 3 2 4 4 3 4 Alto
A23 Aplicacin Mesa de Ayuda 0 1 0 1 1 0 0 1 0 1 1 1 1 Bajo
A24 Sistema Monitoreo de servicios 0 2 0 0 2 0 0 2 0 2 2 2 2 Bajo
A25 Sistema de Control de Acceso 1 3 0 1 3 0 0 1 0 3 3 1 3 Medio
A26 Herramienta de Virtualizacin 4 4 3 4 4 3 4 4 3 4 4 4 4 Alto
A27 Sistema Gestor Base de Datos 4 4 3 4 4 3 3 2 2 4 4 3 4 Alto
A28 Antivirus 0 2 0 0 2 0 2 2 2 2 2 2 2 Bajo
A29 Sistema administracin de la SAN 4 4 3 4 4 3 4 4 3 4 4 4 4 Alto
A30 Sistema de control de versiones 0 2 0 0 2 0 0 0 0 2 2 0 2 Bajo
A31 Sistema de Grabacin de llamadas 3 3 1 3 3 1 3 3 1 3 3 3 3 Medio
87
A32 ERP 3 3 1 3 3 1 2 1 0 3 3 2 3 Medio
A33 Aplicativos CORE del negocio 4 3 1 4 3 1 2 1 0 4 4 2 4 Alto
A34 Aplicativo de nomina 3 3 1 3 3 1 2 1 0 3 3 2 3 Medio
A35 Sistema de Gestin Documental 2 2 1 2 2 1 1 1 0 2 2 1 2 Bajo
A36 Sistema de Gestin de Calidad 1 1 1 1 1 1 1 1 0 1 1 1 1 Bajo
A37 Aplicativo WEB transaccional 0 3 2 0 3 2 0 0 1 3 3 1 3 Medio
A38 Pgina WEB 1 3 3 1 3 3 1 1 2 3 3 2 3 Medio
A39 Intranet 0 1 1 0 1 1 0 0 0 1 1 0 1 Bajo
A40 Aplicativos seguimiento proyectos 0 2 2 0 2 2 0 2 2 2 2 2 2 Bajo
A41 CRM 0 3 1 0 2 1 0 0 0 3 2 0 3 Medio
A42 Terminales empresariales 0 3 0 0 3 1 0 0 0 3 3 0 3 Medio
A43 Directorio activo 4 4 0 4 4 0 0 0 0 4 4 0 4 Alto
A44 Correo Electrnico 3 3 2 3 3 2 0 0 2 3 3 2 3 Medio
A45 Bases de datos 4 4 2 4 4 2 0 0 2 4 4 2 4 Alto
A46 FileServer 4 4 2 4 4 2 0 0 2 4 4 2 4 Alto
A47 Video Conferencia 0 1 1 0 1 1 0 0 1 1 1 1 1 Bajo
A48 Gestin de privilegios 4 4 0 4 4 0 0 0 0 4 4 0 4 Alto
A49 Identidad del Usuario 2 4 1 2 4 1 0 0 2 4 4 2 4 Alto
A50 Datos de autenticacin 4 4 1 3 4 1 0 0 2 4 4 2 4 Alto
A51 Usuarios genricos 4 4 1 3 4 1 0 0 2 4 4 2 4 Alto
A52 Log de evento de seguridad 3 4 0 3 4 0 0 0 0 4 4 0 4 Alto
A53 Registro de incidentes de seguridad 3 4 0 3 4 0 0 0 0 4 4 0 4 Alto
Manuales tcnicos de
A54 1 1 0 1 1 0 0 0 0 1 1 0 1 Bajo
administracin
Bitcora de control de acceso al
A55 1 1 0 1 1 0 0 0 0 1 1 0 1 Bajo
centro de computo
A56 Plan estratgico de tecnologa 2 2 0 1 2 2 0 0 0 2 2 0 2 Bajo
A57 Documentos del proceso 1 1 0 1 1 0 0 0 0 1 1 0 1 Bajo
88
Tabla 21. Activos seleccionados para valoracin de riesgos
Nivel de Contener y/o activo seleccionado para valoracin
Activo de Informacin
criticidad de riesgos
A4. Area administracin de plataforma Alto
Area administracin de plataforma
A18. Computadores Administradores Alto
A53. Registro de incidentes de seguridad Alto
Bases de datos
A51. Usuarios genricos Alto
A19. Computadores de escritorio usuarios Medio Computadores
A17. Dispositivos de red Alto
Cuartos de rack
A3. Cuartos de comunicaciones Medio
A2. Centro Alterno de Procesamiento Alto
A1. Centro Principal de Procesamiento Alto
A15. SAN Alto
A9. Servidores de administracin Alto
Data Center del proveedor
A11. Servidores de aplicaciones de produccin Alto
A10. Servidores de bases de datos de produccin Alto
A12. Plataforma de Correo Medio
A16. Solucin de Backup Medio
A50. Datos de autenticacin Alto
A48. Gestin de privilegios Alto Directorio activo
A49. Identidad del Usuario Alto
A22. Equipos de seguridad perimetral Alto Equipos de seguridad perimetral
A52. Log de evento de seguridad Alto Log de eventos
A42. Terminales empresariales Medio Otros bancos
A44. Correo Electrnico Medio Plataforma de Correo
A20. Porttiles Medio Porttiles
A5. Red LAN Alto
A7. Red WIFI corporativa Alto Red LAN
A8. Red WIFI invitados Medio
A6. Red WAN Alto RED WAN
A43. Directorio activo Alto
A46. FileServer Alto
A26. Herramienta de Virtualizacin Alto
Servidores de administracin
A29. Sistema administracin de la SAN Alto
A25. Sistema de Control de Acceso Medio
A31. Sistema de Grabacin de llamadas Medio
A33. Aplicativos CORE del negocio Alto
A34. Aplicativo de nomina Medio
A37. Aplicativo WEB transaccional Medio
Servidores de aplicaciones
A41. CRM Medio
A32. ERP Medio
A38. Pgina WEB Medio
A45. Bases de datos Alto
Servidores de bases de datos
A27. Sistema Gestor Base de Datos Alto
89
5.3.2. VALORACION RIESGOS ACTIVOS DE TECNOLOGIA
Se procedi a realizar la valoracin de los riesgos a los cuales estn expuestos
los activos de informacin que se identificaron para el proceso de tecnologa, para
lo cual, se desarrollo las siguientes actividades:
Identificacin de riesgo
Anlisis del riesgo inherente
Elaboracin matriz de riesgo inherente
Valoracin de controles existentes para mitigar el riesgo inherente
Determinacin de riesgos residual
Elaboracin matriz de riesgo residual
Para facilitar esta labor de identificacin, se elaboro la siguiente lista que contiene
una serie de riesgos de seguridad que en trminos generales pueden afectar a
cualquier tipo de organizacin y los principios de seguridad que se ven afectos,
relacionados con la confidencialidad, disponibilidad e integridad de la informacin:
90
Tabla 22. Lista de riesgos y principios de seguridad afectados
Principios afectadas
RIESGOS
C I D
Abuso de privilegios de acceso X X
Acceso no autorizado X X
Auditorias dbiles
Cambio de privilegios sin autorizacin X X X
Denegacin de Servicio X
Divulgacin o robo de informacin de autenticacin X
Divulgacin no autorizada de informacin del negocio X
Ejecucin de ingeniera social X
Errores del administrador X X X
Instalacin de software no autorizado X X
Interceptacin no autorizada de informacin en trnsito X
Manipulacin de la configuracin X
Modificacin sin autorizacin X
Prdida o robo de informacin X X
Suplantacin de identidad de usuarios X X
Uso inadecuado de sistemas para generar fraudes X X
Uso inadecuado de sistemas que generan interrupcin X
92
Las siguientes son vulnerabilidades asociadas a las diferentes amenazas
identificadas y que estn relacionados con las caractersticas de los activos de la
direccin de tecnologa o de sus contenedores:
95
Para determinar el impacto que pueden tener las prdidas de confidencialidad,
integridad y disponibilidad sobre los activos de informacin se utilizo los siguientes
criterios de valoracin:
96
El nivel de riesgo inherente es igual a el valor de la probabilidad x valor del
impacto.
97
Tabla 28. Valoracin de riesgos inherente Direccin de Tecnologa
R2. Ataques externos / internos (hacking no tico) Mayor Mayor Alta Riesgo Extremo Riesgo Extremo Riesgo Extremo
R3. Cambio de privilegios sin autorizacin Moderado Moderado Moderado Alta Riesgo Alto Riesgo Alto Riesgo Alto Riesgo Alto
R4. Desastres naturales (Terremotos, Incendios, Inundaciones,
Mayor Raro Riesgo Bajo Riesgo Bajo
etc.)
R5. Divulgacin de informacin de autenticacin Moderado Media Riesgo Medio Riesgo Medio
R6. Error del administrador Moderado Alta Riesgo Alto Riesgo Alto
R7. Instalacin de software no autorizado Menor Media Riesgo Medio Riesgo Medio
R8. Interceptacin no autorizada de informacin en trnsito Mayor Mayor Alta Riesgo Extremo Riesgo Extremo Riesgo Extremo
R9. Interrupcin en los servicios Moderado Media Riesgo Medio Riesgo Medio
R10. Modificacin sin autorizacin Moderado Media Riesgo Medio Riesgo Medio
R12. Robo de informacin Mayor Mayor Media Riesgo Alto Riesgo Alto Riesgo Alto
R13. Suplantacin de identidad de usuarios Moderado Baja Riesgo Medio Riesgo Medio
R14. Uso inadecuado de sistemas para generar fraudes Mayor Baja Riesgo Medio Riesgo Medio
R15. Uso inadecuado de sistemas que generan interrupcin Mayor Baja Riesgo Medio Riesgo Medio
R16. Abuso de privilegios Mayor Mayor Alta Riesgo Extremo Riesgo Extremo Riesgo Extremo
98
Tabla 29. Riesgos inherentes de Tecnologa por tipo de riesgo
Nivel de Riesgo
RIESGO ACTIVOS Probabilidad Impacto Probabilidad x
impacto
Area administracin de plataforma
Bases de datos
Cuartos de Rack
Data Center del proveedor
Riesgo
R1. Acceso no autorizado Directorio Activo 4. Alta 5. Catastrfico 20
Extremo
Equipos de seguridad perimetral
Servidores de Administracin, bases de
datos y aplicaciones de produccin
Plataforma de Correo
Bases de datos
Equipos de seguridad perimetral
R2. Ataques externos / Servidores de Administracin, bases de Riesgo
4. Alta 4. Mayor 16
internos (hacking no tico) datos y aplicaciones de produccin Extremo
Plataforma de Correo
Data Center del proveedor
R8. Interceptacin no
Red LAN y Red WAN Riesgo
autorizada de informacin en 4. Alta 4. Mayor 16
Correo Extremo
trnsito
Data Center del proveedor
Directorio Activo
Riesgo
R16. Abuso de privilegios Servidores de Administracin, bases de 4. Alta 4. Mayor 16
Extremo
datos y aplicaciones de produccin
Plataforma de Correo
Bases de Datos
Directorio Activo
R3. Cambio de privilegios sin Riesgo
Servidores de Administracin, bases de 4. Alta 3. Moderado 12
autorizacin Alto
datos y aplicaciones de produccin
Plataforma de Correo
Bases de datos
Data Center del proveedor
Directorio Activo
Red LAN y Red WAN Riesgo
R6. Error del administrador 4. Alta 0. No afecta 12
Servidores de Administracin, bases de Alto
datos y aplicaciones de produccin
Plataforma de Correo
Equipos de seguridad perimetral
Bases de datos
Directorio Activo
Riesgo
R12. Robo de informacin Servidores de Administracin 3. Media 4. Mayor 12
Alto
Servidores de bases de datos de produccin
Plataforma de Correo
Bases de Datos
R5. Divulgacin de Riesgo
Directorio Activo 3. Media 3. Moderado 9
informacin de autenticacin Medio
Servidores de Administracin
Bases de datos
Data Center del proveedor
R9. Interrupcin en los Directorio Activo Riesgo
3. Media 0. No afecta 9
servicios Red LAN y Red WAN Medio
Servidores de Administracin, bases de
datos y aplicaciones de produccin
R10. Modificacin sin Bases de datos 3. Media 0. No afecta 9 Riesgo
99
autorizacin Directorio Activo Medio
Servidores de Administracin, bases de
datos y aplicaciones de produccin
Plataforma de Correo
Area administracin de plataforma
Riesgo
R11. Robo de equipos Cuartos de Rack 3. Media 0. No afecta 9
Medio
Data Center del proveedor
Bases de datos
R14. Uso inadecuado de Directorio Activo
Riesgo
sistemas para generar Servidores de Administracin, bases de 2. Baja 4. Mayor 8
Medio
fraudes datos y aplicaciones de produccin
Plataforma de Correo
Bases de datos
Data Center del proveedor
R15. Uso inadecuado de Directorio Activo
Riesgo
sistemas que generan Red LAN y Red WAN 2. Baja 0. No afecta 8
Medio
interrupcin Servidores de Administracin, bases de
datos y aplicaciones de produccin
Plataforma de Correo
Directorio Activo
R7. Instalacin de software Riesgo
Computadores 3. Media 0. No afecta 6
no autorizado Medio
Porttiles
R13. Suplantacin de Directorio Activo Riesgo
2. Baja 3. Moderado 6
identidad de usuarios Servicio de Correo Medio
Riesgo
R4. Desastres naturales Data Center del proveedor 1. Raro 0. No afecta 4
Bajo
100
5.3.2.3. MAPA DE CALOR
El mapa de calor permite representar de forma grfica un plano conformado por
zonas donde se ubicacin los riesgos de acuerdo a su probabilidad y su impacto.
Cada zona dentro del mapa de calor corresponde a un tipo de riesgo, el cual
indica las acciones que se deben realizar para el tratamiento del riesgo.
Se utilizo una matriz de 5x5 para el mapa de calor, debido a que las metodologas
de riesgos de la entidad utilizan este tipo de matrices para la valoracin de los
diferentes tipos de riesgos.
101
5.3.2.4. MAPA DE RIESGO INHERENTE
Los siguientes son los mapas de riesgo inherente del proceso de tecnologa:
102
5.3.2.5. VALORACION DE CONTROLES
Una vez generada la matriz de riesgo inherente se procedi a valorar la efectividad
de los controles existentes, con el objetivo determinar el nivel de desplazamiento
que estos pueden genera sobre el mapa de calor de riesgo, lo cual determina, el
mapa de calor del riesgo residual.
Opciones de
Aspectos a evaluar Peso
respuesta
Afecta impacto o probabilidad. Permite establecer el movimiento que Impacto
genera sobre la matriz, si sobre el eje X (probabilidad) o sobre el eje Y
Probabilidad
(impacto)
Control Preventivo 20
Categora del control Control Detectivo 15
Control Correctivo 5
SI 15
Herramientas para ejercer el control
NO 0
Estn definidos los responsables de la ejecucin del control y del SI 15
seguimiento NO 0
SI 20
La frecuencia de la ejecucin del control y seguimiento es adecuada.
NO 0
SI 20
El tiempo que lleva el control ha demostrado ser efectivo
NO 0
SI 10
Est documentado los pasos para el manejo del control
NO 0
65
Departamento Administrativo de la Funcin Pblica, Gua para la administracin del riesgo, Pg., 34
103
Tabla 31. Valoracin de controles
ASPECTOS A EVALUAR DEL CONTROL
Estn definidos
los La frecuencia El tiempo que Est
Existe una responsables de de la ejecucin lleva el documentado TOTAL
RIESGO \ AMENAZA DESCRIPCION DEL CONTROL Tipo de control herramienta la ejecucin del del control y control ha los pasos para PUNTAJE
(afecta impacto para ejercer el control y del seguimiento es demostrado el manejo del
o probabilidad) Categoria control seguimiento adecuada. ser efectivo control
Se cuenta con un sistema de control de Preventivo SI NO SI SI NO
acceso biomtrico para ingresar a las reas Probabilidad 75
seguras y cmaras de vigilancia 20 15 0 20 20 0
Existe un plataforma de seguridad perimetral Preventivo SI SI SI NO NO
Probabilidad 70
en alta disponibilidad 20 15 15 20 0 0
El acceso de los usuarios al los recursos Preventivo SI SI SI NO NO
R1. Acceso no autorizado tecnolgicos se controla por el directorio Probabilidad 70
activo 20 15 15 20 0 0
Las aplicaciones cuentan con esquemas de Preventivo SI NO NO NO NO
Probabilidad 35
seguridad basado en roles y permisos 20 15 0 0 0 0
Se cuenta con un esquema de privilegios Preventivo SI NO NO NO NO
Probabilidad 35
sobre el fileserver 20 15 0 0 0 0
R2. Ataques externos / Existe un plataforma de seguridad perimetral Preventivo SI SI SI SI NO
Probabilidad 90
internos (hacking no tico) en alta disponibilidad 20 15 15 20 20 0
R3. Cambio de privilegios sin Se cuenta con un procedimiento formal de Preventivo SI SI NO NO SI
Probabilidad 60
autorizacin control de cambios 20 15 15 0 0 10
Centro principal de procesamiento TIER III y Correctivo SI SI NO NO SI
R4. Desastres naturales Impacto 45
Centro alterno de procesamiento TIER II 5 15 15 0 0 10
(Terremotos, Incendios,
Inundaciones, etc.) Preventivo SI SI NO NO SI
Simulacros de evacuacin Impacto 60
20 15 15 0 0 10
R5. Divulgacin de Se tiene implementada la poltica de Preventivo SI NO SI SI NO
Probabilidad 75
informacin de autenticacin contrasea segura 20 15 0 20 20 0
Se cuenta con un procedimiento formal de Preventivo SI SI NO NO SI
R6. Error del administrador Probabilidad 60
control de cambios 20 15 15 0 0 10
Se tiene implementada la poltica para Preventivo SI NO SI SI NO
R7. Instalacin de software
restringir la instalacin de software por parte Probabilidad 75
no autorizado 20 15 0 20 20 0
de los usuarios
R8. Interceptacin no Los canales de comunicaciones con las Preventivo SI SI SI NO NO
autorizada de informacin en regionales utilizan protocolos de encripcin Probabilidad 70
trnsito para la transmisin de datos. 20 15 15 20 0 0
Se cuenta con una plataforma en alta Correctivo SI SI NO SI NO
R9. Interrupcin en los Impacto 55
disponibilidad 5 15 15 0 20 0
servicios
Se cuenta con un procedimiento formal de Probabilidad Preventivo SI SI NO NO SI 60
104
control de cambios 20 15 15 0 0 10
Centro principal de procesamiento TIER III y Correctivo SI SI NO NO SI
Impacto 45
Centro alterno de procesamiento TIER II 5 15 15 0 0 10
El acceso de los usuarios al los recursos Preventivo SI SI SI NO NO
tecnolgicos se controla a travs del Probabilidad 70
directorio activo 20 15 15 20 0 0
R10. Modificacin sin Las aplicaciones cuentan con esquemas de Preventivo SI NO NO NO NO
autorizacin Probabilidad 35
seguridad basado en roles y permisos 20 15 0 0 0 0
Se cuenta con un esquema de privilegios Preventivo SI NO SI NO NO
Probabilidad 55
sobre el fileserver 20 15 0 20 0 0
Se cuenta con un sistema de control de Preventivo SI SI SI SI SI
acceso biomtrico para ingresar a las reas Probabilidad 100
seguras y cmaras de vigilancia 20 15 15 20 20 10
R11. Robo de equipos Existe guardias de seguridad que revisan a Preventivo SI SI SI NO SI
Probabilidad 80
los equipos que entran y salen de la entidad 20 15 15 20 0 10
Correctivo SI SI SI SI SI
Existen plizas contra robo de equipos Impacto 85
5 15 15 20 20 10
Existe un plataforma de seguridad perimetral Preventivo SI SI SI NO NO
Probabilidad 70
en alta disponibilidad 20 15 15 20 0 0
R12. Robo de informacin Existe un esquema de premisos Preventivo SI SI SI NO NO
implementado en el FileServer y en las Probabilidad 70
aplicaciones 20 15 15 20 0 0
Se cuenta con un sistema de control de Preventivo SI SI SI SI SI
R13. Suplantacin de
acceso biomtrico para ingresar a las reas Probabilidad 100
identidad de usuarios 20 15 15 20 20 10
seguras y cmaras de vigilancia
R14. Uso inadecuado de Los aplicativos crticos de la entidad tienen Preventivo SI NO SI NO NO
sistemas para generar un esquema de autenticacin integrado con Probabilidad 55
fraudes el dominio y basado en roles y permisos 20 15 0 20 0 0
Se cuenta con una plataforma en alta Correctivo SI SI NO SI NO
R15. Uso inadecuado de Impacto 55
disponibilidad 5 15 15 0 20 0
sistemas que generan
interrupcin Centro principal de procesamiento TIER III y Correctivo SI SI NO NO SI
Impacto 45
Centro alterno de procesamiento TIER II 5 15 15 0 0 10
El acceso al los recursos tecnolgicos se Preventivo SI SI NO NO NO
Probabilidad 50
controla a travs del directorio activo 20 15 15 0 0 0
Las aplicaciones cuentan con esquemas de Preventivo SI SI NO NO SI
R16. Abuso de privilegios Probabilidad 60
seguridad basado en roles y permisos 20 15 15 0 0 10
Se cuenta con un esquema de privilegios Correctivo SI SI NO NO NO
Impacto 35
sobre el fileserver 5 15 15 0 0 0
105
5.3.2.6. DETERMINAR DESPLAZAMIENTO MAPA DE CALOR
Entre 0 y 50 puntos 0 0
Entre 51 y 75 puntos 1 1
66
Departamento Administrativo de la Funcin Pblica, Gua para la administracin del riesgo, Pg., 35
106
Tabla 33. Determinacin nivel de desplazamiento
Total Controles
Total Controles
Probabilidad
Probabilidad
Probabilidad
Nivel Riesgo
Nivel riesgo
Impacto
Impacto
Impacto
TOTAL
RIESGO \ AMENAZA DESCRIPCION DEL CONTROL
PUNTAJE
R2. Ataques externos / internos Existe un plataforma de seguridad perimetral en alta Riesgo Riesgo
90 4 4 2 2 0 0 2 4
(hacking no tico) disponibilidad Extremo Medio
R3. Cambio de privilegios sin Se cuenta con un procedimiento formal de control de Riesgo
60 4 3 Riesgo Alto 1 1 0 0 3 3
autorizacin cambios Medio
Centro principal de procesamiento con nivel de TIER III y
R4. Desastres naturales 45 0 0
Centro alterno de procesamiento con nivel de TIER II
(Terremotos, Incendios, 1 4 Riesgo Bajo 0 1 1 3 Riesgo Bajo
Inundaciones, etc.) Simulacros de evacuacin 60 0 1
108
5.3.2.7. DETERMINACION RIESGO RESIDUAL
Una vez determinado el nivel de desplazamiento que genero el control por
disminucin de la probabilidad o del impacto, se procedi a elaborar la matriz de
riesgos residual, para lo cual, se ubico el riesgos residual dentro del mapa de
riesgos teniendo en cuenta el nuevo valor de su probabilidad y de su impacto.
109
Figura 16. Mapa Riesgo residual general proceso de tecnologa
110
5.3.2.9. COMPARATIVA MAPAS DE CALOR
Los siguientes son los comparativos entre el mapa de riesgo inherente y el riesgo residual:
111
Figura 19. Comparativo Mapas de Calor Detalladas
112
5.3.3. PLANES DE TRATAMIENTO DE RIESGO
Con el objetivo de gestionar el riesgo residual se establecieron los planes de
tratamiento orientados a preservar las caractersticas de confidencialidad,
integridad y disponibilidad de los activos de informacin de tecnologa
seleccionados para la respectiva valoracin de riesgos. Para determinar la opcin
para el tratamiento del riesgo, se utilizo como base el siguiente mapa de calor que
especifica para cada una de las posiciones de la matriz de 5x5 la accin a seguir:
113
Tabla 34. Criterios para tratamiento de riesgos
Las siguientes son las opciones que se establecieron para el tratamiento de los
riesgos residuales de acuerdo a su a posicin en la matriz de 5x5:
Los siguientes son los planes de tratamiento que se definieron para evitar,
disminuir o mitigar los riesgos residuales del proceso de tecnologa:
114
Tabla 36. Plan de tratamiento de riesgos residuales proceso de Tecnologa
115
Riesgo Plan de Afecta
Riesgos Activos afectados Descripcin plan de accin Responsable
Residual Tratamiento D I C
Bases de datos, Directorio Activo, Monitorear peridica los Logs de eventos de seguridad. Oficial de Seguridad
Medidas
Servidores de Administracin, Servidores Garantizar que todo cambio que se realizan en
R10. Modificacin sin Riesgo preventivas Direccin de Tecnologa
de bases de datos de produccin, I produccin es aprobado por el comit de cambios
autorizacin Bajo para reducir
Servidores de aplicaciones de produccin, Revisar peridicamente el estado de los usuarios, roles
el riesgo Oficial de Seguridad
Plataforma de Correo y permisos en el sistema
R11. Robo de rea administracin de plataforma, Riesgo Aceptar el
C
equipos Cuartos de Rack, Data Center Inusual riesgo
Monitorear peridica los Logs de eventos de seguridad. Oficial de Seguridad
Revisar peridicamente el estado de los usuarios, roles
Oficial de Seguridad
y permisos los sistemas.
Bases de datos, Directorio Activo, Medidas
Implementar mecanismo de cifrado de disco duro de los
R12. Robo de Servidores de Administracin, Servidores Riesgo preventivas Direccin de Tecnologa
C dispositivos mviles y porttiles de la entidad
informacin de bases de datos de produccin, Bajo para reducir
Plataforma de Correo el riesgo Garantizar la implementacin del bloqueo de
Direccin de Tecnologa
dispositivos externos en los computadores de la entidad
Clasificar la informacin de la entidad, de acuerdo a si Oficial de Seguridad
es pblica, privada o confidencial Dueos de proceso
116
Afecta
Riesgo Plan de
Riesgos Activos afectados Descripcin plan de accin Responsable
Residual Tratamiento D I C
117
5.3.4. POLITICAS DE SEGURIDAD DE LA INFORMACION
Se elaboro el manual de Polticas de Seguridad de la informacin, que
corresponde al documento que contiene las polticas, normas y lineamientos que
regirn la seguridad de la informacin en la entidad y las responsabilidades y
obligaciones de todos los colaboradores y terceros que tengan acceso a la
informacin de la entidad.
118
A.5. Poltica General de Seguridad de la Informacin
A.6. Organizacin de Seguridad de la Informacin
A.7. Seguridad de los Recursos Humanos
A.8. Gestin de Activos
ANEXO A NORMA ISO 27001:2013 A.9. Control de Acceso
A.10. Criptografa
A.11. Seguridad Fsica y del Entorno
A.12. Seguridad de las Operaciones
A.13. Seguridad de las Comunicaciones
A.14. Adquisicin, Desarrollo y Mantenimiento de Sistemas
A.15. Relaciones con los Proveedores
A.16. Gestin de Incidentes de Seguridad de la Informacin
A.17. Seguridad de la Informacin en la Continuidad del Negocio
A.18. Cumplimiento de Requisitos Legales y Contractuales
120
Tabla 37. Actividades Ciclo Gestin de Incidentes
Actividad Objetivo
Preparacin Se obtienen los recursos para garantizar las fases del ciclo de
vida de la gestin de incidentes de seguridad. Tambin se
determina como se van a clasificar los incidentes de seguridad
y los tiempos para su atencin.
67
Gua Tcnica Colombiana, GTS-ISO/IEC 27035:2012, Pg. 64.
121
Para establecer la clasificacin de los incidentes de seguridad de la informacin
de la entidad, se utiliz como marco de referencia la categorizacin que plantea la
GUA DE SEGURIDAD DE LAS TIC (CCN-STIC-817) [17], del Centro Criptolgico
Nacional de Espaa.
68
GUA DE SEGURIDAD DE LAS TIC (CCN-STIC-817), Pg. 9
122
Propagacin de contenido La prdida de seguridad de la informacin es causada por la
indeseable propagacin de contenido indeseable a travs de redes de
informacin, tales como: contenido ilegal, contenido que provoca
pnico, contenido malicioso, contenido abusivo, etc.
Denegacin del servicio - Incidentes que generan la interrupcin prolongada en un servicio de
tecnologa o que un sistema, servicio o red deje de operar a su
capacidad prevista.
Modificacin de sitios web Vulnerabilidades explotadas con xito en los servidores web o en las
Ataques (Defacement) aplicaciones que estos alojan, que permiten a un atacante modificar
contenidos y pginas web.
Ingeniera social, fraude o Corresponden a la interceptacin, espionaje, chuzadas de telfonos,
phishing ingeniera social o phishing, con el objetivo de obtener informacin
sin autorizacin y/o por engao.
Escaneos, pruebas o
Agrupa los eventos que buscan obtener informacin de la
intentos de obtener
infraestructura tecnolgica de la Entidad a travs de sniffers
informacin, redes o
(software utilizado para capturar informacin que viaja por la red) o
servidores sin
Pruebas y deteccin de Vulnerabilidades.
autorizacin.
reconocimientos
En esta categora se consideran aquellos eventos de seguridad
Alarmas de sistemas de (cortafuegos, sistemas de deteccin de intrusos, filtrado web, etc.)
monitorizacin que puedan ser significativos pero que no permitan
clasificar al incidente en alguna de las categoras establecidas.
Incluye los eventos que atentan contra los recursos tecnolgicos por
el mal uso y comprenden:
Mal uso de los
Mal uso de los recursos - Mal uso y/o Abuso de servicios informticos internos o externos
recursos
tecnolgicos - Violacin de las normas de acceso a Internet
tecnolgicos
- Mal uso y/o Abuso del correo electrnico de la Entidad
- Modificacin, instalacin o eliminacin no autorizada de software
No clasificados en ninguna de las categoras de incidentes
Otro Incidente
anteriores
123
6. RESULTADOS Y DISCUSIONES
Los resultados obtenidos de este proyecto se derivan del desarrollo de tres fases
que fueron definidas para dar cumplimiento a los objetivos especficos que se
establecieron con el propsito de poder alcanzar el objetivo general de proyecto.
124
Los resultados de los diagnsticos que se realizaron en esta fase permitieron
determinar:
125
En trminos general, las siguientes fueron las situaciones identificadas producto
del diagnostico de la situacin problema de la entidad:
69
Anexo 3: Estratificacin de Entidades - Modelo seguridad de la informacin para la estrategia de Gobierno
en Lnea 2.0, Pg. 8.
126
relacionados con, la infraestructura asociada al nmero total de computadores, los
servicios ofrecidos en lnea por la entidad y el tamao y capacidad del rea de
sistemas. Para la respuesta a la primera pregunta del formulario, que est
relacionado con el presupuesto de funcionamiento de la entidad, se acudi al rea
de contabilidad de la entidad.
Los siguientes son los resultados obtenidos y los anlisis que se realizaron de
acuerdo a la informacin suministrada por la entidad para poder determinar su
nivel de estratificacin:
Con base en la sumatoria del puntaje asignado para cada uno de las
respuestas seleccionados, el puntaje total obtenido por la entidad fue de 22
puntos, lo que significa que la entidad se encuentra clasificada en un nivel
MEDIO SUPERIOR de estratificacin, lo cual, significara inicialmente un
esfuerzo considerable por parte de la entidad para el establecimiento y
implementacin de su Sistema de Gestin de Seguridad de la Informacin.
El presupuesto de la entidad para el ao 2014 fue aproximadamente de
$146.362.311.000, lo que supondra que la entidad pude asegurar la
disponibilidad de los recursos necesarios para el Sistema de Gestin de
Seguridad de la Informacin de acuerdo a lo establecido en el numeral c) del
captulo 5.1 Liderazgo y Compromiso de la norma ISO/IEC 27001:201370.
El nmero de computadores y servidores que posee la entidad, implica un
mayor esfuerzo para garantizar la seguridad de estos activos de informacin,
por lo tanto, es esencial valorar los riesgos de estos activos de informacin con
el objetivo de determinar su nivel de proteccin y por consiguiente establecer
las medidas de seguridad para salvaguardarlos.
El nmero de empleados de la area de tecnologa, refleja el tamao de la
entidad y los recursos que implica atender los requerimientos de los usuarios y
la prestacin de los servicios de tecnologa, los cuales, pueden no ser
suficientes en el momento que se requieran implementar las medidas y
controles que se establezcan productos de los diagnsticos y valoracin de
riesgos de seguridad que se realicen. Este es un factor que puede implicar un
70
Norma ISO/IEC 27001:2013, Pg. 2
127
mayor esfuerzo para la implementacin del Sistema de Gestin de Seguridad
de la Informacin en la entidad.
El rea de tecnologa de la entidad, adems de administrar y proveer los
recursos tecnolgicos, planea y desarrolla proyectos, factor fundamente en
caso de requerir la implementacin planes de accin y/o medidas de seguridad
que impliquen el establecimiento de un proyecto para su ejecucin.
Para realizar este diagnstico se utiliz una lista de chequeo (ver Anexo B) basada
en un conjunto de preguntas con opcin de respuesta SI o NO, que fueron
respondidas por funcionarios de las reas de la entidad de acuerdo al objetivo de
control que se estaba evaluando.
Respuesta Valor
SI 1
NO 0
Para determinar el nivel del cumplimiento del control se pondero el valor asignado
a las respuestas asociadas a l, resultado que se pondero con el valor obtenido
por los otros controles agrupados al determinado objetivo de control, para as
poder determinar el nivel de cumplimiento de los dominios de control y por ende el
de la entidad.
128
Para realizar este diagnostico se conto con la colaboracin de la Vicepresidencia
de Riesgos, la Direccin de Gestin Humana, la Jefatura de Recursos Fsicos y la
Direccin de Tecnologa y Direccin Jurdica, ya que los controles del Anexo A de
la norma ISO/IEC 27001:2013 prcticamente estn orientados a proteger la
seguridad de las personas, de la infraestructura fsica y lgica, de los recursos
tecnolgicos y por ende de la informacin, y garantizar el cumplimiento de la
normatividad vigente relacionado con seguridad de la informacin.
El diligenciamiento del Anexo B del presente trabajo que corresponde a una hoja
de Excel, fue dispendioso debido a la cantidad de controles que propone el Anexo
A de la norma ISO/IEC 27001:2013 y a la disponibilidad de tiempo por parte de
algunos funcionarios asignados para responder cada las preguntas que se
establecieron para medir el nivel de cumplimiento de dichos controles.
Con base en las respuestas dadas por los usuarios, el siguiente es el resultado del
nivel de cumplimiento de la entidad de los dominios y objetivos de control que
establece el Anexo A de la norma ISO/IEC 27001:2013:
129
A.9.4 Control de acceso a sistemas y aplicaciones 86.67%
A.10 CRIPTOGRAFIA 0.00%
A.10.1 Controles Criptogrficos 0.00%
A.11 SEGURIDAD FISICA Y DEL ENTORNO 76.39%
A.11.1 reas seguras 66.67%
A.11.2 Equipos 86.11%
A.12 SEGURIDAD DE LAS OPERACIONES 91.67%
A.12.1 Procedimientos Operacionales y responsabilidades 62.50%
A.12.2 Proteccin contra cdigos maliciosos 100.00%
A.12.3 Copias de respaldo 100.00%
A.12.4 Registro y seguimiento 79.17%
A.12.5 Control de software operacional 100.00%
A.12.6 Gestin de la vulnerabilidad tcnica 100.00%
A.12.7 Consideraciones sobre auditorias de sistemas de informacin 100.00%
A.13 SEGURIDAD DE LAS COMUNICACIONES 74.58%
A.13.1 Gestin de la seguridad de las redes 66.67%
A.13.2 Transferencia de informacin 82.50%
A.14 ADQUISICIN, DESARROLLO Y MANTENIMIENTO DEL SISTEMA 37.04%
A.14.1 Requisitos de seguridad de los sistemas de informacin 66.67%
A.14.2 Seguridad en los procesos de desarrollo y de soporte 44.44%
A.14.3 Datos de prueba 0.00%
A.15 RELACIONES CON LOS PROVEEDORES 54.17%
A.15.1 Seguridad de la informacin en las relaciones con los proveedores 33.33%
A.15.2 Gestin de la prestacin de servicios de proveedores 75.00%
A.16 GESTIN INCIDENTES DE SEGURIDAD DE LA INFORMACIN 14.29%
A.16.1 Gestin de incidentes y mejoras en la seguridad de la informacin 14.29%
A.17 CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACION 58.33%
A.17.1 Continuidad de seguridad de la informacin 16.67%
A.17.2 Redundancias 100.00%
A.18 CUMPLIMIENTO 30.00%
A.18.1 Cumplimiento de requisitos legales y contractuales 60.00%
A.18.2 Revisiones de seguridad de la informacin 0.00%
132
Tabla 40. Planes de accin niveles cumplimiento controles Anexo A ISO 27001:2013
%
OBJETIVO DE CONTROL CAUSA PLAN DE ACCION
CUMPLE
No existen mecanismos para cifrar la Implementar cuanto antes los debidos mecanismos de
informacin que se intercambio al interior de la cifrado con el objetivo de asegurar la confidencialidad,
A.10 CRIPTOGRAFIA
0% entidad o con terceros. PA1 autenticidad e integridad de la informacin, tales como:
cifrado de correos, portal de intercambio seguro y
cifrado del almacenamiento de dispositivos movibles.
La entidad no cuenta con un proceso para de Establecer cuenta antes el proceso de gestin de
gestin de incidentes de seguridad de la incidentes de seguridad para contar un enfoque
informacin. coherente y eficaz para la debida gestin de los
PA2
incidentes de seguridad y proveer a la entidad de un
A.16 GESTIN mecanismo para el reporte, evaluacin y respuesta a
INCIDENTES DE los incidentes de seguridad de la informacin
14%
SEGURIDAD DE LA Los encargados de la seguridad de la Los encargado de la seguridad de la informacin
INFORMACIN informacin no mantienen un contacto con deben participar en eventos, foros, asociaciones y
grupos de inters especializados en seguridad otros organizamos relacionados con seguridad de la
PA3
de la informacin informacin, para conocer las tendencias del mercado
y las nuevas amenazas que surgen y que atentan
contra la seguridad de la informacin
A.6 ORGANIZACIN La entidad no tiene definidos todos los roles y Este es un entregable del proyecto. Se requiere que el
DE SEGURIDAD DE LA 24% responsabilidades de la seguridad de la PA4 respectivo documento sea aprobado por la Alta
INFORMACION informacin. Direccin.
No cumple el control A.18.1.5 Reglamentacin Implementar mecanismo de cifrado. (Asociado al PA1)
A.18 CUMPLIMIENTO 30%
de controles criptogrficos
Las polticas relacionadas con seguridad de la Elaborar unas polticas de seguridad aprobadas por la
A.5 POLITICAS DE LA informacin estn definidas en el Manual de Alta Direccin para garantizar su debida
SEGURIDAD DE LA 33% Polticas de Seguridad Informtica del proceso PA5 implementacin, actualizacin y cumplimiento.
INFORMACION de tecnologa, manual no est aprobado ni es
revisado por la Alta Direccin
133
No se incluyen los requisitos relacionados con Es indispensable implementar controles adecuados y
seguridad de la informacin en las ciclo de vida efectivos, o fortalecer los existentes, con el objetivo de
de desarrollo. (control A.14.1.1 del Anexo A de la asegurar que la seguridad de la informacin sea parte
norma ISO/IEC 27001:2013) del ciclo de vida del desarrollo de aplicaciones de la
No siempre se realizan las verificaciones entidad y con ello garantizar que los cambios que se
A.14 ADQUISICIN, tcnicas a las aplicaciones crticas del negocio realizan en produccin no afecten la seguridad de la
DESARROLLO Y cuando se realizan cambios en produccin, informacin, para lo cual, se debe crear un documento
37% PA6
MANTENIMIENTO DEL situacin que no garantiza la normal operacin, que contengan las mejorar practicas para el desarrollo
SISTEMA disponibilidad y seguridad de los servicios de TI de software seguro.
una vez realizado los cambios.
No existe con un procedimiento adecuado de
control de versionamiento del software
Durante el desarrollo de las aplicaciones no se
incluyen pruebas de seguridad
La entidad no tiene identificados todos los En el proyecto se identifico los activos de informacin
activos de informacin a travs de los cuales se PA7 de acuerdo al alcance de SGSI.
gestiona la informacin del negocio
A.8 GESTION DE
43% La entidad no tiene establecidos los lineamientos Se requiere definir la respectiva poltica (Asociada al
ACTIVOS
para el uso aceptable de los activos de PA5)
informacin asociados con la informacin e
instalaciones de procesamiento de informacin
No se cuenta con un mecanismo que permite La Vicepresidencia de Riesgo debe capacitar a los
garantizar que los colaboradores o terceras, colaboradores de la entidad para que conozcan las
estn debidamente informados sobre las PA8 Polticas de Seguridad de la Informacin y las adopten
A.7 SEGURIDAD DE funciones y las responsabilidades respecto a la en sus actividades diarias.
LOS RECURSOS 47% seguridad de la informacin
HUMANOS La entidad no cuenta con un plan anual de El rea de gestiona humana realizar un plan de
capacitacin y formacin en seguridad de la capacitacin en temas de seguridad de la informacin.
informacin para sus empleados, lo que genera (Asociado al PA8)
en algunos casos la poca efectividad de los
134
controles implementados.
Dentro del plan de continuidad del negocio de la Documentar, implementar y mantener los
A.17 CONTINUIDAD entidad no se tiene contemplados los requisitos procedimientos y controles necesarios para asegurar
DE LA SEGURIDAD DE 58% para garantizar la seguridad de la informacin PA9 el nivel de continuidad requerido con el objetivo de
LA INFORMACION garantizar la seguridad de la informacin en
situaciones adversas.
La identificacin del equipo no hace parte del PA10 La Direccin de Tecnolgica deber verificar la
esquema de autenticacin de los usuarios al viabilidad de implementar este control
directorio activo.
La entidad no cuenta con un procedimiento PA11 La Direccin de Tecnologa deber crear el respectivo
A.9 CONTROL DE formal para la asignacin, control y restriccin de procedimiento
61%
ACCESO derechos de acceso y privilegios sobre sus
recursos tecnolgicos y aplicaciones.
No se cuenta con un procedimiento para la PA12 La Direccin de Tecnologa deber crear el respectivo
gestin de contraseas en los sistemas base de procedimiento
la entidad.
No se cuenta con mecanismo adecuados para Garantizar la debida proteccin y cifrado de la
A.13 SEGURIDAD DE
proteger la informacin confidencial que se informacin incluida en la mensajera electrnica
LAS 75%
enva por correo electrnico (control A.13.2.3 (Asociado al PA1)
COMUNICACIONES
Anexo A de la norma ISO/IEC 27001:2013)
No se cuenta con los procedimientos para Establecer el respectivo procedimiento
trabajo en reas seguras (control A.11.1.5 del PA13
Anexo A de la ISO/IEC 27001:2013)
A.11 SEGURIDAD No se cuenta con un mecanismo efectivo de Implementar una solucin de NAC (Control de acceso
FISICA Y DEL 76% seguridad que permita validar que los equipos de la Red)
PA14
ENTORNO que se conecta a la red interna de la entidad sea
una estacin de trabajo segura y valida
No se cuenta con una poltica de escritorio limpio Se requiere definir y establecer la respectiva poltica
(Asociado al PA5)
135
El resultado del diagnostico indico que el nivel de cumplimiento o desarrollo de la
entidad frente al Anexo A de la norma ISO/IEC 27001:2013 es del 46.09%, debi a
que no cuenta con algunos controles, o los existentes no son adecuados o no
estn documentos y que por la tanto requieren su revisin en un medio plazo para
mejorar su efectividad y su cumplimiento. Esta situacin representa un riesgo
Medio para la entidad debido a la ausencia de controles o la presencia de algunos
con debilidades, la cual, puede ser aprovechado por amenazas internas o
externas para atentar contra la seguridad de la informacin de la entidad.
Los planes de accin que se definieron para cerrar las brechas encontradas estn
sujetos a la viabilidad de su implementacin por parte de la entidad, debido a que
algunos de ellos requieren la adquisicin de herramientas y/o soluciones
tecnolgicas que implica que la entidad deba adelantar procesos de contratacin
para su adquisicin. Algunas de las soluciones tecnolgicas que se requieren,
pueden llegar a tener un costo elevado y/o su implementacin puede demandar un
tiempo considerable. Dentro de estas soluciones se destacan:
Este diagnostico y los planes de accin que se establecieron, que hacen parte de
los entregables del proyecto, permitieron dar alcanzar el objetivo especfico OE3.
136
OE4. Establecer la estructura organizacional, roles y responsabilidades en
cuanto a la Seguridad de la Informacin.
El organigrama de la entidad.
La caracterizacin de los procesos documentada en el sistema de gestin de
calidad de la entidad.
Las funciones especficas de los colaboradores de la Vicepresidencia de
Riesgos que fueron proporcionas por la Direccin de Gestin Humana.
Las funciones del Comit de Riesgos que estan documentadas en el proceso
de riesgo.
71
Ley Estatutaria 1581 de 2012 Por la cual se dictan disposiciones generales para la proteccin
de datos personales
137
contrario, la revisin y anlisis de la informacin demando ms tiempo del
presupuestado debido a que los documento publicados en el Sistema de Gestin
de la entidad no se podan exportar, copiar o descargar a otros formatos por
poltica de seguridad de la entidad. Resultado de la revisin y anlisis de la
documentacin recolectada, se evidencio, que las funciones del oficial de
seguridad no estaban debidamente formalizadas y las funciones de comit de
riegos no incluan las relacionadas con seguridad de la informacin.
72
Codigo de Buen Gobierno que esta publicado en el pgina web de la entidad,
138
Figura 24. Grado de Inters Partes Interesadas
Fuente: El Autor
Las partes interesadas que tiene un inters alto (82%) corresponden aquellos que
estn interesadas de forma directa o indirecta en que la entidad tenga un
adecuado sistema de gestin de seguridad para as proteger la informacin del
negocio y de sus clientes. En este grupo estas las siguientes partes interesadas:
139
El grado motivacin hacia la seguridad de la informacin de la entidad por las
partes interesas se ve reflejado en la siguiente grafica:
140
El 37% de las partes interesadas tiene un alto grado de gobernabilidad sobre la
seguridad de la informacin y corresponde a las partes que deciden las directrices
de la seguridad a nivel estratgico o son los responsables de asegurar la
implementacin, operacin y mejora continua del SGSI, en este grupo estn: Alta
Direccin, Comit de Riesgos, Vicepresidencia de Riesgos y Oficial de Seguridad.
73
Norma ISO/IEC 27001:2013, Pg. 2
141
Para la definicin de los objetivo del Sistema de Gestin de Seguridad de la
Informacin se tuvo en cuenta el numeral 6.2 Objetivos de seguridad de la
informacin y planes para lograrlos74 de la norma ISO\IEC 27001:2013.
74
Norma ISO/IEC 27001:2013, Pg. 6
75
Norma ISO/IEC 27001:2013, Pg. 3
142
requerimientos establecidos en los numerales 6.1.2 Valoracin de riesgos de la
seguridad de la informacin76 y 6.1.3 Tratamiento de riesgos de la seguridad de la
informacin77 de la norma ISO\IEC 27001:2013.
Por lo tanto, el documento relacionado con el Anexo D que hace parte de los
entregables del proyecto, permite dar alcance al objetivo especfico OE7.
76
Norma ISO/IEC 27001:2013, Pg. 4
77
Norma ISO/IEC 27001:2013, Pg. 5
143
OE8. Clasificar los activos de informacin del proceso de Gestin de
Tecnologa, valorar sus riesgos y definir los planes de tratamiento.
144
Tabla 42. Nmero de activos identificados por tipo de activo
Tipo de activo No
Datos / Informacin 9
Equipos informticos 14
Instalaciones 4
Redes de comunicaciones 4
Servicios 6
Software 20
Total 57
145
En el grupo de Servicios que corresponde al 10% de los activos de
informacin, estn los servicios de directorio activo, correo, base de datos,
fileserver, videoconferencia y gestin de privilegios.
El grupo de Equipos Informticos que equivale al 25% de los activos incluye,
servidores de administracin, bases de datos y aplicaciones de produccin,
pruebas y desarrollo, plataforma de correo, sistema de almacenamiento,
computadores, equipos de seguridad perimetral, etc.
El grupo de instalaciones que equivale al 7% de los activos incluye, centros de
cmputo, cuartos de rack y rea de administracin de plataforma.
El grupo de redes, que equivale al 7% corresponde a la red WAN y LAN
78
Anexo D, Capitulo 3.9 Determinar los activos para la valoracin de riesgos, Pg. 14
147
Una vez seleccionados los activos de informacin para la valorar los riesgos, se
procedi a identificar las amenazas asociadas a estos, para lo cual y con el
objetivo de facilitar esta labor, se utilizo la lista de riesgos relacionada en Tabla
22. Lista de riesgos y principios de seguridad afectados del presente trabajo, la
contiene los riesgos que pueden afectar a cualquier tipo de organizacin y los
principios de seguridad de la informacin que se afectan, relacionados con la
confidencialidad, integridad y disponibilidad. Esta lista fue compartida a los
funcionarios de la Direccin de Tecnologa, quienes a partir de ella identificaron las
amenazas a las cuales estn expuestos los activos de informacin seleccionados.
La grafica anterior muestra una visin inicial de las amenazas internas o externas
que pueden afectar la seguridad de la informacin de la entidad. En la misma, se
puede observa que amenazas como acceso no autorizado y los errores del
administrador, pueden poner en riesgos cada una de ellas, 33 de los 41 activos
seleccionados, lo que equivale al 80% del total de estos activos. El inadecuado
uso de sistema para generar interrupciones, que es otra amenaza, puede afectar
32 activos que equivalen al 78% del total de los seleccionados. Amenazas como
abuso de privilegios y ataques externos o internos, pueden poder en riesgos de
manera individual 26 activos que significan el 63% de los activos seleccionados.
148
Pas seguido, con el rea de tecnologa se procedi a identificar las posibles
vulnerabilidades de los activos de informacin que pueden ser aprovechas por las
amenazas identificadas, para lo cual, se estableci como regla que no se debera
tener en cuenta los controles o medidas de seguridad existentes que protegen la
infraestructura tecnolgica de la entidad. Esta labor no fue nada sencilla, debido a
que los administradores de las plataformas fueron muy reservados en indicar las
debilidades de ciertos componentes tecnolgicos, lo cual, es entendible en la
medida que esta informacin puede poner en riesgos la seguridad de la entidad.
149
Una de las vulnerabilidades que puede ser aprovecha por 12 de las amenazas
identificadas, corresponde a la ausencia, no aplicacin o aplicacin no adecuada
de las polticas de seguridad de la informacin, por lo tanto, es esencial que las
polticas definidas en el Manual de Polticas de Seguridad de la informacin (ver
Anexo F) del presenta trabajo, sean aprobadas, publicadas e implementadas.
La anterior muestra un panorama inicial del nivel de exposicin que pueden llegar
a tener los activos de informacin del proceso de tecnologa frente a las amenazas
identificadas, el cual, no contempla la valoracin de la probabilidad de ocurrencia e
150
impacto de los riesgos, que es fundamental para establecer el estado real de
exposicin de los activos de informacin.
151
de los riesgos identificados, as como el valor del riesgo inherente, se utilizaron los
criterios de valoracin establecidos en las tablas, Tabla 5. Valoracin probabilidad
de ocurrencia, Tabla 6. Valoracin del impacto y Tabla 7. Valoracin de los
riesgos79, de la metodologa de riesgos del Anexo D del presente trabajo. Con el
objetivo de facilitar estos clculos, se utilizo la hoja de Excel relacionada en el
Anexo E del presente trabajo de grado, la cual, fue diligenciada conjuntamente con
los coordinadores de las diferentes reas de la Direccin de Tecnologa, como
son, plataforma, desarrollo, mesa de ayuda, entre otras.
79
Anexo D, Metodologa de valoracin de riesgos de seguridad de la informacin, Pg. 16, 17 y 18
152
tipo de riesgo e indica las acciones de tratamiento del riesgo a seguir. El siguiente
es el mapa de riesgos inherente del proceso de tecnologa:
80
https://www.oracle.com/es/corporate/pressrelease/2-19189.html
81
http://raytheon.mediaroom.com/index.php?s=43&item=2570
153
identificacin de controles orientados a reducir el riesgo a niveles ms bajos. El
25% de los riesgos estn clasificados como extremos, lo que significa que los
controles deben que permitan reducir y compartir el riesgo, transferirlo o incluso
evitarlo. El 19% corresponde a riesgos altos, que requiere de controles adecuados
que permitan disminuir el riesgo a nivel bajo o inusual.
154
La siguente es la relacion de las cantidad de controles que se indentificaron para
cada uno de los riesgos evaluados:
En esta grfica se puede observar que para cada riesgo por lo menos se identifico
un control que puede generar el desplazamiento del riesgo a una zona menor en
el mapa de calor, lo cual, es algo positivo ya que ayuda a mitigar el nivel de riesgo
inherente del proceso de tecnologa.
155
Las siguientes graficas muestras la disminucin en el nivel de los riesgos que
genero los respectivos controles identificados:
Figura 35. Disminucin nivel de riesgo por efectividad del control (1)
Figura 36. Disminucin nivel de riesgo por efectividad del control (2)
156
De acuerdo a estas grficas los controles identificados en trminos generales
fueron efectivos ya que permitieron reducir los respectivos riesgos a niveles ms
bajos, logrando con esto una disminucin significativa en el nivel del riesgo
inherente del proceso de tecnologa.
Probabilidad
Impacto
Impacto
%
RIESGO PxI Nivel Riesgo PxI Nivel riesgo
Disminucin
Riesgo
R1. Acceso no autorizado 4 5 20
Extremo
1 5 5 Riesgo Medio 75.00%
R2. Ataques externos / internos Riesgo
(hacking no tico)
4 4 16
Extremo
2 4 8 Riesgo Medio 50.00%
R3. Cambio de privilegios sin
autorizacin
4 3 12 Riesgo Alto 3 3 9 Riesgo Medio 25.00%
De acuerdo a estos datos los controles valoradores generaron una disminucin del
44.97% en el nivel del riesgos del proceso de tecnologa.
157
La siguiente grafica muestra el porcentaje de disminucin en el nivel de riesgo que
genero los respectivos controles valorados:
Las siguientes son las matrices de riesgos inherente y residual del proceso del
proceso de tecnologa, donde se puede observar el desplazamiento que gnero
los controles identificados para cada uno de los riesgos:
De acuerdo a las disminuciones generadas por los controles sobre cada uno de
los riesgos valorados, la siguiente es la distribucin del riesgo residual del proceso
de tecnologa, que permite establecer las acciones para el tratamiento de los
riesgos valorados de acuerdo a como estos quedaron ubicados en los diferentes
tipos de riesgos:
160
Figura 39. Distribucin riesgo residual proceso de tecnologa
Fuente: El autor
Las acciones que se definieron para el tratamiento de cada uno de los riesgos
valorados se encuentran en la Tabla 35. Opciones tratamiento riesgo residual del
proceso de tecnologa, del presente trabajo de grado. A partir de esta informacin,
se puede establecer la siguiente distribucin que indica el nmero de amenazas
de acuerdo a la opcin de tratamiento que se debe realizar para mitigar el riesgo:
161
Figura 40. Distribucin de amenazas por opcin de tratamiento del riesgo
Fuente: El autor
Los planes de tratamiento que se definieron para mitigar los riesgos residuales del
proceso de tecnologa producto de valorar las amenazas que pueden afectar a los
activos de informacin seleccionados, estn relaciones en el capitulo 5.3.3.
PLANES DE TRATAMIENTO DE RIESGO del presente trabajo.
Algunos de estos planes de tratamiento, al igual que los que se definieron para
cerrar las brechas encontradas producto del diagnostico del nivel de cumplimiento
de la entidad con relacin al Anexo A de la ISO 27001:2013, estn sujetos a la
viabilidad de su implementacin por parte de la entidad, debido a que algunos de
estos requieren la adquisicin de soluciones tecnolgicas que implican procesos
de contratacin, las cuales pueden llegar a tener un costo elevado y/o su
implementacin puede demandar un tiempo considerable. Dentro de estas
soluciones definidas en estos los planes de tratamiento estn:
162
Implementar mecanismos que garanticen el cifrado de la informacin que se
intercambia con terceros a travs del correo electrnico. Al igual que la
anterior, tambin esta como parte del plan de accin PA1.
Implementar mecanismo de cifrado de disco duro de los dispositivos mviles y
porttiles de la entidad. Tambin hace parte del plan de accin PA1.
Por lo tanto, y con el propsito de dar alcance al objetivo especfico OE8 que se
definido para el proyecto, se realizaron las siguientes actividades:
163
A.8. Gestin de Activos
A.9. Control de Acceso
A.10. Criptografa
A.11. Seguridad Fsica y del Entorno
A.12. Seguridad de las Operaciones
A.13. Seguridad de las Comunicaciones
A.14. Adquisicin, Desarrollo y Mantenimiento de Sistemas
A.15. Relaciones con los Proveedores
A.16. Gestin de Incidentes de Seguridad de la Informacin
A.17. Seguridad de la Informacin en la Continuidad del Negocio
A.18. Cumplimiento de Requisitos Legales y Contractuales
Este manual de polticas debe ser aprobado por el comit de riesgos para su
debida publicacin, socializacin y cumplimiento. Debido a que el presente trabajo
de grado solo abarca el diseo de un sistema de gestin de seguridad de la
informacin para la entidad, y no la implementacin del mismo, la elaboracin del
manual de polticas de seguridad relacionado en el Anexo F, permite dar alcance
al objetivo especfico OE9 que se defini para el presente trabajo de grado.
165
7. CONCLUCIONES
166
Debido a la complejidad de la infraestructura tecnologa y a la capacidad del
rea de tecnologa, la entidad se encuentra clasificada en un nivel MEDIO de
estratificacin, que implica un esfuerzo considerable para la implementacin
del Sistema de Gestin de Seguridad de la Informacin, lo cual, se ve reflejado
en los diferentes planes de accin que se generaron a lo largo del proyecto que
estn orientado a dar cumplimiento a los requerimientos de la norma ISO/IEC
27001:2013.
168
8. RECOMENDACIONES
169
BIBLIOGRAFIA
171
[21] Una metodologa de evaluacin de cadenas agro-alimenticias para la
identificacin de problemas y proyectos, Capitulo 5 - Identificar soluciones a
los problemas, http://www.fao.org, [En lnea]. Available:
http://www.fao.org/wairdocs/x5405s/x5405s07.htm. [ltimo acceso: 10
Agosto 2014].
[22] ICONTEC, GUIA TECNICA COLOMBIA GTC-ISO/IEC 27035, 2012.
172
ANEXOS
173